Tutorial: Mengakses provisi oleh pemilik data ke himpunan data Azure Storage (pratinjau)

  • Artikel
  • 9 menit untuk membaca

Penting

Fitur ini sedang dalam Pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup ketentuan hukum yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Kebijakan dalam Microsoft Purview memungkinkan Anda mengaktifkan akses ke sumber data yang telah didaftarkan ke koleksi. Tutorial ini menjelaskan bagaimana pemilik data dapat menggunakan Microsoft Purview untuk mengaktifkan akses ke himpunan data di Azure Storage melalui Microsoft Purview.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan Azure Anda
  • Mengonfigurasi izin untuk mengizinkan Microsoft Purview tersambung ke sumber daya Anda
  • Mendaftarkan sumber daya Azure Storage Anda untuk Manajemen Penggunaan Data
  • Membuat dan menerbitkan kebijakan untuk grup sumber daya atau langganan Anda

Prasyarat

Mengaktifkan penegakan kebijakan akses untuk akun Azure Storage

Untuk mengaktifkan Microsoft Purview mengelola kebijakan untuk satu atau beberapa akun Azure Storage, jalankan perintah PowerShell berikut dalam langganan tempat Anda akan menyebarkan akun Azure Storage. Perintah PowerShell ini akan memungkinkan Microsoft Purview mengelola kebijakan pada semua akun Azure Storage yang baru dibuat dalam langganan tersebut.

Jika Anda menjalankan perintah ini secara lokal, pastikan untuk menjalankan PowerShell sebagai administrator. Atau, Anda dapat menggunakan Cloud Shell Azure di portal Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Jika keluaran dari perintah terakhir menunjukkan RegistrationState sebagai Terdaftar, maka langganan Anda diaktifkan untuk kebijakan akses. Jika output adalah Mendaftar, tunggu setidaknya 10 menit, lalu coba lagi perintah. Jangan lanjutkan kecuali RegistrationState ditampilkan sebagai Terdaftar.

Penting

Fitur kebijakan akses hanya tersedia di akun Azure Storage baru. Storage akun harus memenuhi persyaratan berikut untuk menerapkan kebijakan akses yang diterbitkan dari Microsoft Purview.

  • Versi akun penyimpanan >= 81.x.x.
  • Dibuat dalam langganan setelah fitur AllowPurviewPolicyEnforcementTerdaftar.

Buat akun Azure Storage baru

Setelah Mengaktifkan kebijakan akses di atas, buat akun Azure Storage baru di salah satu wilayah yang tercantum di bawah ini. Anda dapat mengikuti panduan ini untuk membuatnya.

Saat ini, kebijakan akses Microsoft Purview hanya dapat diberlakukan di wilayah Azure Storage berikut:

  • Prancis Tengah
  • Kanada Tengah
  • US Timur
  • AS Timur2
  • AS Tengah Bagian Selatan
  • AS Barat
  • US Barat2
  • Eropa Utara
  • Eropa Barat
  • UK Selatan
  • Asia Tenggara
  • Australia Timur

Konfigurasi

Daftarkan Microsoft Purview sebagai penyedia sumber daya di langganan lain

Jalankan langkah ini hanya jika sumber data dan akun Microsoft Purview berada dalam langganan yang berbeda. Daftarkan Microsoft Purview sebagai penyedia sumber daya di setiap langganan tempat sumber data berada dengan mengikuti panduan ini: Daftarkan penyedia sumber daya.

Penyedia sumber daya Microsoft Purview adalah:

Microsoft.Purview

Mengonfigurasi izin untuk tindakan manajemen kebijakan

Bagian ini membahas izin yang diperlukan untuk:

  • Membuat sumber daya data tersedia untuk Manajemen Penggunaan Data. Langkah ini diperlukan sebelum kebijakan dapat dibuat di Microsoft Purview untuk sumber daya tersebut.
  • Menulis dan mempublikasikan kebijakan dalam Microsoft Purview.

Penting

Saat ini, peran Microsoft Purview yang terkait dengan operasi kebijakan harus dikonfigurasi di tingkat koleksi akar.

Izin untuk membuat sumber daya data tersedia untuk Manajemen Penggunaan Data

Untuk mengaktifkan pengalih Manajemen Penggunaan Data (DUM) untuk sumber data, grup sumber daya, atau langganan, pengguna yang sama harus memiliki hak istimewa IAM tertentu pada sumber daya dan hak istimewa Microsoft Purview tertentu.

  1. Pengguna harus memiliki salah satu kombinasi peran IAM berikut pada jalur ARM sumber daya atau induknya (menggunakan pewarisan).

    • Pemilik IAM
    • Baik Kontributor IAM + Administrator Akses Pengguna IAM

    Ikuti panduan ini untuk mengonfigurasi izin peran Azure RBAC. Cuplikan layar berikut menunjukkan cara mengakses bagian Access Control dalam pengalaman portal Azure untuk sumber daya data guna menambahkan penetapan peran:

Screenshot shows how to access Access Control in Azure Portal to add a role assignment

  1. Selain itu, pengguna yang sama harus memiliki peran administrator sumber data (DSA) Microsoft Purview di tingkat pengumpulan akar. Lihat panduan tentang mengelola Microsoft Purview penetapan peran. Cuplikan layar berikut menunjukkan cara menetapkan Admin Sumber Data di tingkat koleksi akar:

Screenshot shows how to assign Data Source Admin at root collection level

Izin untuk penulisan dan penerbitan kebijakan

Izin berikut diperlukan dalam Microsoft Purview di tingkat pengumpulan akar:

  • Peran penulis kebijakan dapat membuat atau mengedit kebijakan.
  • Peran administrator sumber data dapat mempublikasikan kebijakan.

Periksa bagian tentang mengelola penetapan peran Microsoft Purview dalam panduan ini.

Catatan

Masalah yang diketahui terkait dengan izin

  • Selain peran Pembuat kebijakan Microsoft Purview, pengguna mungkin memerlukan izin Pembaca Direktori pada Azure Active Directory untuk membuat kebijakan pemilik data. Ini adalah izin umum untuk pengguna di penyewa Azure. Anda bisa memeriksa izin untuk Pembaca Direktori Azure AD

Delegasi tanggung jawab kontrol akses untuk Microsoft Purview

Peringatan

  • Peran Pemilik IAM untuk sumber data dapat diwarisi dari grup sumber daya induk, langganan, atau Grup Manajemen langganan.
  • Setelah sumber daya diaktifkan untuk Pengelolaan Penggunaan Data, setiap set akar Microsoft Purview pembuat kebijakan akan dapat membuat kebijakan akses terhadapnya, dan setiap koleksi-akar Microsoft Purview Admin sumber data akan dapat memublikasikan kebijakan tersebut pada kapan saja setelahnya.
  • Setiap root Microsoft Purview Admin Koleksi dapat menetapkan peran baru koleksi-akar Admin Sumber Data dan Penulis kebijakan.
  • Jika akun Microsoft Purview dihapus, kebijakan apa pun yang diterbitkan akan berhenti diberlakukan dalam jumlah waktu yang bergantung dengan sumber data tertentu. Tindakan ini dapat berdampak pada ketersediaan keamanan dan akses data.

Dengan mengingat peringatan ini, berikut adalah beberapa praktik terbaik yang disarankan untuk izin:

  • Minimalkan jumlah orang yang memegang peran Admin Koleksi root Microsoft Purview, Admin Sumber Data root, atau root Penulis kebijakan.
  • Untuk memastikan pemeriksaan dan keseimbangan, tetapkan peran Microsoft Purview Penulis kebijakan dan Admin sumber data kepada orang yang berbeda dalam organisasi. Dengan ini, sebelum kebijakan data berlaku, orang kedua (Admin sumber data) harus meninjaunya dan secara eksplisit menyetujuinya dengan memublikasikannya.
  • Akun Microsoft Purview dapat dihapus oleh peran Kontributor dan Pemilik di IAM. Anda dapat memeriksa izin ini dengan membuka bagian Kontrol akses (IAM) untuk akun Microsoft Purview Anda dan memilih Penetapan Peran. Anda juga dapat menempatkan kunci untuk mencegah akun Microsoft Purview dihapus melalui kunci ARM.

Mendaftarkan sumber data di Microsoft Purview untuk Manajemen Penggunaan Data

Akun Azure Storage Anda perlu didaftarkan di Microsoft Purview untuk menentukan kebijakan akses nanti, dan selama pendaftaran, kami akan mengaktifkan Manajemen Penggunaan Data. Manajemen Penggunaan Data adalah fitur yang tersedia di Microsoft Purview yang memungkinkan pengguna mengelola akses ke sumber daya dari dalam Microsoft Purview. Ini memungkinkan Anda untuk memusatkan penemuan data dan manajemen akses, namun ini adalah fitur yang secara langsung berdampak pada keamanan data Anda.

Peringatan

Sebelum mengaktifkan Manajemen Penggunaan Data untuk salah satu sumber daya Anda, baca artikel Manajemen Penggunaan Data kami.

Artikel ini menyertakan praktik terbaik Manajemen Penggunaan Data untuk membantu Anda memastikan bahwa informasi Anda aman.

Untuk mendaftarkan sumber daya Anda dan mengaktifkan Manajemen Penggunaan Data, ikuti langkah-langkah berikut:

Catatan

Anda harus menjadi pemilik grup langganan atau sumber daya untuk dapat menambahkan identitas terkelola pada sumber daya Azure.

  1. Dari portal Azure, temukan akun penyimpanan Azure Blob yang ingin Anda daftarkan.

    Screenshot that shows the storage account

  2. Pilih Access Control (IAM) di navigasi kiri lalu pilih + Tambahkan -->Tambahkan penetapan peran.

    Screenshot that shows the access control for the storage account

  3. Atur Peran ke Storage Pembaca Data Blob dan masukkan nama akun Microsoft Purview Anda di bawah kotak Input pilih. Lalu, pilih Simpan untuk memberikan penetapan peran ini ke akun Microsoft Purview Anda.

    Screenshot that shows the details to assign permissions for the Microsoft Purview account

  4. Jika Anda mengaktifkan firewall di akun Storage Anda, ikuti langkah-langkah berikut juga:

    1. Buka akun Azure Storage Anda di portal Azure.

    2. Navigasi ke Keamanan + jaringan Networking.NET >

    3. Pilih Jaringan Yang Dipilih di bawah Izinkan akses dari.

    4. Di bagian Pengecualian, pilih Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan ini dan pilih Simpan.

      Screenshot that shows the exceptions to allow trusted Microsoft services to access the storage account.

  5. Setelah Anda menyiapkan autentikasi untuk akun penyimpanan Anda, buka portal tata kelola Microsoft Purview.

  6. Pilih Peta Data pada menu sebelah kiri.

    Screenshot that shows the far left menu in the Microsoft Purview governance portal open with Data Map highlighted.

  7. Pilih Daftar.

    Screenshot that shows the Microsoft Purview governance portal Data Map sources, with the register button highlighted at the top.

  8. Pada Daftarkan sumber, pilih Azure Blob Storage.

    Screenshot that shows the tile for Azure Multiple on the screen for registering multiple sources.

  9. Pilih Lanjutkan.

  10. Pada layar Daftarkan sumber (Azure) , lakukan hal berikut ini:

    1. Dalam kotak Nama , masukkan nama bersahabat yang akan dicantumkan sumber data dalam katalog.

    2. Dalam kotak daftar dropdown Langganan , pilih langganan tempat akun penyimpanan Anda berada. Kemudian pilih akun penyimpanan Anda di bawah nama akun Storage. Di Pilih koleksi pilih koleksi tempat Anda ingin mendaftarkan akun Azure Storage Anda.

      Screenshot that shows the boxes for selecting a storage account.

    3. Dalam kotak Pilih kumpulan, pilih kumpulan atau buat yang baru (opsional).

    4. Atur tombol Manajemen Penggunaan Data ke Diaktifkan, seperti yang ditunjukkan pada gambar di bawah ini.

      Screenshot that shows Data Use Management toggle set to active on the registered resource page.

      Tip

      Jika pengalih Manajemen Penggunaan Data berwarna abu-abu dan tidak dapat dipilih:

      1. Konfirmasikan bahwa Anda telah mengikuti semua prasyarat untuk mengaktifkan Manajemen Penggunaan Data di seluruh sumber daya Anda.
      2. Konfirmasikan bahwa Anda telah memilih akun penyimpanan untuk didaftarkan.
      3. Mungkin sumber daya ini sudah terdaftar di akun Microsoft Purview lain. Arahkan mouse ke atasnya untuk mengetahui nama akun Microsoft Purview yang telah mendaftarkan sumber daya data.first. Hanya satu akun Microsoft Purview yang dapat mendaftarkan sumber daya untuk Manajemen Penggunaan Data pada saat itu.

    5. Pilih Daftar untuk mendaftarkan grup sumber daya atau langganan dengan Microsoft Purview dengan Manajemen Penggunaan Data diaktifkan.

Tip

Untuk informasi selengkapnya tentang Manajemen Penggunaan Data, termasuk praktik terbaik atau masalah yang diketahui, lihat artikel Manajemen Penggunaan Data kami.

Membuat kebijakan pemilik data

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

  3. Pilih tombol Kebijakan Baru di halaman kebijakan.

    Data owner can access the Policy functionality in Microsoft Purview when it wants to create policies.

  4. Halaman kebijakan baru akan muncul. Masukkan Nama dan Deskripsi kebijakan.

  5. Untuk menambahkan pernyataan kebijakan ke kebijakan baru, pilih tombol Pernyataan kebijakan baru. Ini akan memunculkan penyusun pernyataan kebijakan.

    Data owner can create a new policy statement.

  6. Pilih tombol Efek dan pilih Izinkan dari daftar tarik-turun.

  7. Pilih tombol Tindakan dan pilih Baca atau Ubah dari daftar tarik-turun.

  8. Pilih tombol Sumber Daya Data untuk memunculkan jendela untuk memasukkan informasi sumber daya Data, yang akan terbuka di sebelah kanan.

  9. Di bawah Panel Sumber Daya Data, lakukan salah satu dari dua hal bergantung pada perincian kebijakan:

    • Untuk membuat pernyataan kebijakan luas yang mencakup seluruh sumber data, grup sumber daya, atau langganan yang sebelumnya terdaftar, gunakan kotak Sumber data dan pilih Jenisnya.
    • Untuk membuat kebijakan terperinci, gunakan kotak Aset sebagai gantinya. Masukkan Jenis Sumber Data dan Nama dari sumber data yang terdaftar dan dipindai sebelumnya. Lihat contoh dalam gambar.

    Screenshot showing the policy editor, with Data Resources selected, and Data source Type highlighted in the data resources menu.

  10. Pilih tombol Lanjutkan dan melintasi hierarki untuk memilih dan mendasar objek data (misalnya: folder, file, dll.). Pilih Rekursif untuk menerapkan kebijakan dari titik tersebut dalam hierarki ke objek data turunan apa pun. Kemudian pilih tombol Tambahkan. Ini akan membawa Anda kembali ke editor kebijakan.

    Screenshot showing the Select asset menu, and the Add button highlighted.

  11. Pilih tombol Subjek dan masukkan identitas subjek sebagai prinsipal, grup, atau MSI. Kemudian pilih tombol OK. Ini akan membawa Anda kembali ke editor kebijakan

    Screenshot showing the Subject menu, with a subject select from the search and the OK button highlighted at the bottom.

  12. Ulangi langkah #5 hingga #11 untuk memasukkan pernyataan kebijakan lainnya.

  13. Pilih tombol Simpan untuk menyimpan kebijakan.

    Screenshot showing a sample data owner policy giving access to an Azure Storage account.

Menerbitkan kebijakan pemilik data

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

    Screenshot showing the Microsoft Purview governance portal with the leftmost menu open, Policy Management highlighted, and Data Policies selected on the next page.

  3. Portal Kebijakan akan menampilkan daftar kebijakan yang ada di Microsoft Purview. Temukan kebijakan yang perlu diterbitkan. Pilih tombol Terbitkan di sudut kanan atas halaman.

    Screenshot showing the policy editing menu with the Publish button highlighted in the top right of the page.

  4. Daftar sumber data ditampilkan. Anda dapat memasukkan nama untuk memfilter daftar. Kemudian, pilih setiap sumber data tempat kebijakan ini akan diterbitkan, lalu pilih tombol Terbitkan.

    Screenshot showing with Policy publish menu with a data resource selected and the publish button highlighted.

Penting

  • Terbitkan adalah operasi latar belakang. Diperlukan waktu hingga 2 jam agar perubahan tercermin dalam akun Storage.

Membersihkan sumber daya

Untuk menghapus kebijakan di Microsoft Purview, ikuti langkah-langkah berikut:

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

    Screenshot showing the leftmost menu open, Policy Management highlighted, and Data Policies selected on the next page.

  3. Portal Kebijakan akan menampilkan daftar kebijakan yang ada di Microsoft Purview. Pilih kebijakan yang perlu diperbarui.

  4. Halaman detail kebijakan akan muncul, termasuk opsi Edit dan Hapus. Pilih tombol Edit, yang menampilkan pembuat pernyataan kebijakan. Sekarang, setiap bagian dari pernyataan dalam kebijakan ini dapat diperbarui. Untuk menghapus kebijakan, gunakan tombol Hapus.

    Screenshot showing an open policy with the Edit button highlighted in the top menu on the page.

Langkah berikutnya

Periksa demo kami dan tutorial terkait:

Demo kebijakan akses untuk Azure StorageConcepts untuk kebijakan pemilik data Microsoft PurviewAktifkan kebijakan pemilik data Microsoft Purview pada semua sumber data dalam langganan atau grup sumber daya