Toegangsbeheer in Azure Purview

  • Artikel
  • 6 minuten om te lezen

Azure Purview maakt gebruik van Verzamelingen om de toegang tot de bronnen, assets en andere artefacten te organiseren en te beheren. In dit artikel worden verzamelingen en toegangsbeheer in uw Azure Purview-account beschreven.

Verzamelingen

Een verzameling is een hulpprogramma dat door Azure Purview wordt gebruikt om assets, bronnen en andere artefacten te groeperen in een hiërarchie voor detecteerbaarheid en om toegangsbeheer te beheren. Alle toegang tot de resources van Purview wordt beheerd vanuit verzamelingen in het Purview-account zelf.

Notitie

Vanaf 8 november 2021 is Insights toegankelijk voor DataAtors. Gegevenslezers hebben geen toegang tot Insights.

Rollen

Azure Purview maakt gebruik van een set vooraf gedefinieerde rollen om te bepalen wie toegang heeft tot wat binnen het account. Deze rollen zijn momenteel:

  • Verzamelingsbeheerders: een rol voor gebruikers die rollen moeten toewijzen aan andere gebruikers in Azure Purview of verzamelingen moeten beheren. Verzamelingsbeheerders kunnen gebruikers toevoegen aan rollen in verzamelingen waar ze beheerders zijn. Ze kunnen ook verzamelingen en hun details bewerken en subverzamelingen toevoegen.
  • Gegevenscursers: een rol die toegang biedt tot de gegevenscatalogus voor het beheren van assets, het configureren van aangepaste classificaties, het instellen van woordenlijsttermen en het weergeven van inzichten. Gegevenscursers kunnen assets maken, lezen, wijzigen, verplaatsen en verwijderen. Ze kunnen ook aantekeningen toepassen op assets.
  • Gegevenslezers: een rol die alleen-lezentoegang biedt tot gegevensactiva, classificaties, classificatieregels, verzamelingen en woordenlijsttermen.
  • Gegevensbronbeheerders: een rol waarmee een gebruiker gegevensbronnen en scans kan beheren. Als een gebruiker alleen de rol Gegevensbronbeheerder krijgt voor een bepaalde gegevensbron, kan deze nieuwe scans uitvoeren met behulp van een bestaande scanregel. Als u nieuwe scanregels wilt maken, moet de gebruiker ook de rol Gegevenslezer of Gegevenscursator krijgen.

Wie moet worden toegewezen aan welke rol?

Gebruikersscenario Juiste rol(en)
Ik wil alleen assets zoeken, ik wil niets bewerken Gegevenslezer
Ik moet informatie over assets bewerken, classificaties toewijzen, deze koppelen aan woordenlijstgegevens, en meer. Gegevenscursator
Ik moet de woordenlijst bewerken of nieuwe classificatiedefinities instellen Gegevenscursator
Ik moet de gegevens Insights om inzicht te krijgen in de governancestatus van mijn gegevensgegevens Gegevenscursator
De service-principal van mijn toepassing moet gegevens pushen naar Azure Purview Gegevenscursator
Ik moet scans instellen via Purview Studio Gegevenscursist van de verzameling of Gegevenscursist en gegevensbronbeheerder waar de bron is geregistreerd
Ik moet een service-principal of groep inschakelen om scans in Azure Purview in te stellen en te bewaken zonder dat ze toegang hebben tot de gegevens van de catalogus Gegevensbronbeheerder
Ik moet gebruikers in rollen in Azure Purview zetten Verzamelingsbeheerder

Grafiek met purview-rollen

Meer informatie over het gebruik van azure Purview-rollen en -verzamelingen

Alle toegangsbeheer wordt beheerd in de verzamelingen van Purview. De verzamelingen van Purview vindt u in Purview Studio. Open uw Purview-account in Azure Portal en selecteer de tegel Purview Studio op de pagina Overzicht. Navigeer van hier naar de gegevenskaart in het menu links en selecteer vervolgens het tabblad Verzamelingen.

Wanneer een Azure Purview-account wordt gemaakt, begint het met een hoofdverzameling met dezelfde naam als het Purview-account zelf. De maker van het Purview-account wordt automatisch toegevoegd als verzamelingsbeheerder, gegevensbronbeheerder, gegevenscursator en gegevenslezer voor deze hoofdverzameling en kan deze verzameling bewerken en beheren.

Bronnen, assets en objecten kunnen rechtstreeks worden toegevoegd aan deze hoofdverzameling, maar andere verzamelingen ook. Door verzamelingen toe te voegen, hebt u meer controle over wie toegang heeft tot gegevens in uw Purview-account.

Alle andere gebruikers hebben alleen toegang tot informatie in het Azure Purview-account als ze, of een groep waarin ze zich hebben, een van de bovenstaande rollen krijgen. Dit betekent dat wanneer u een Azure Purview-account maakt, alleen de maker toegang heeft tot de API's of deze kan gebruiken totdat deze zijn toegevoegd aan een of meer van de bovenstaande rollen in een verzameling.

Gebruikers kunnen alleen worden toegevoegd aan een verzameling door een verzamelingsbeheerder of via overname van machtigingen. De machtigingen van een bovenliggende verzameling worden automatisch overgenomen door de subverzamelingen. U kunt er echter voor kiezen om de overname van machtigingen voor elke verzameling te beperken. Als u dit doet, nemen de subverzamelingen geen machtigingen meer over van het bovenliggende en moeten ze rechtstreeks worden toegevoegd, hoewel verzamelingsbeheerders die automatisch worden overgenomen van een bovenliggende verzameling, niet kunnen worden verwijderd.

U kunt Purview-rollen toewijzen aan gebruikers, beveiligingsgroepen en service-principals vanuit uw Azure Active Directory die is gekoppeld aan het abonnement van uw purview-account.

Machtigingen toewijzen aan uw gebruikers

Nadat u een Azure Purview-account hebt gemaakt, moet u eerst verzamelingen maken en gebruikers toewijzen aan rollen binnen deze verzamelingen.

Notitie

Als u uw Azure Purview-account hebt gemaakt met behulp van een service-principal, moet u beheerdersmachtigingen voor de hoofdverzameling verlenen om toegang te krijgen tot Purview Studio en machtigingen toe te wijzen aan gebruikers. U kunt deze Azure CLI-opdracht gebruiken:

az purview account add-root-collection-admin --account-name --resource-group [--object-id]

Verzamelingen maken

Verzamelingen kunnen worden aangepast voor de structuur van de bronnen in uw Purview-account en kunnen fungeren als geordende opslaglocaties voor deze resources. Wanneer u denkt aan de verzamelingen die u mogelijk nodig hebt, moet u overwegen hoe uw gebruikers informatie kunnen openen of ontdekken. Worden uw bronnen opgesplitst per afdeling? Zijn er gespecialiseerde groepen binnen die afdelingen die alleen bepaalde assets hoeven te ontdekken? Zijn er enkele bronnen die door al uw gebruikers kunnen worden ontdekt?

Dit informeert de verzamelingen en subverzamelingen die u mogelijk nodig hebt om uw gegevenskaart zo effectief mogelijk te organiseren.

Nieuwe verzamelingen kunnen rechtstreeks worden toegevoegd aan de gegevenskaart, waar u de bovenliggende verzameling kunt kiezen uit een vervolgkeuzemap, of ze kunnen worden toegevoegd vanuit de bovenliggende verzameling als een subverzameling. In de gegevenskaartweergave ziet u al uw bronnen en assets die zijn geordend op de verzamelingen. In de lijst wordt de verzameling van de bron weergegeven.

Volg onze handleiding voor het maken en beheren van verzamelingen voor meer instructies en informatie.

Een voorbeeld van verzamelingen

Nu we een basiskennis hebben van verzamelingen, machtigingen en hoe ze werken, gaan we een voorbeeld bekijken.

Grafiek met een voorbeeldverzamelingenhiërarchie, opgesplitst per regio en afdeling.

Dit is één manier waarop een organisatie de gegevens kan structureren: Beginnend met hun hoofdverzameling (Contoso, in dit voorbeeld) worden verzamelingen ingedeeld in regio's en vervolgens in afdelingen en subdepartmenten. Gegevensbronnen en assets kunnen worden toegevoegd aan een van deze verzamelingen om gegevensbronnen te ordenen op basis van deze regio's en afdelingen en toegangsbeheer op deze lijnen te beheren. Er is één subdepartment, Revenue, met strikte toegangsrichtlijnen, zodat machtigingen strikt moeten worden beheerd.

De rol gegevenslezer heeft toegang tot informatie in de catalogus, maar kan deze niet beheren of bewerken. In het bovenstaande voorbeeld geven het toevoegen van de machtiging Gegevenslezer aan een groep in de hoofdverzameling en het toestaan van overname alle gebruikers in die groep leesmachtigingen voor bronnen en assets voor het opsnuiten van gegevens. Hierdoor kunnen deze resources door iedereen in die groep worden detecteerbaar, maar niet bewerkt. Als u de overname van de groep Omzet beperkt, wordt de toegang tot deze assets beheerd. Gebruikers die toegang nodig hebben tot informatie over de omzet kunnen afzonderlijk worden toegevoegd aan de verzameling Revenue. Net als bij de rollen DataAtor en Data Source Admin beginnen machtigingen voor die groepen bij de verzameling waar ze zijn toegewezen en vallen ze onder subverzamelingen die de overname niet hebben beperkt. Hieronder hebben we machtigingen toegewezen voor verschillende groepen op verzamelingsniveaus in de subverzameling Noord- en Zuid-Amerika.

Grafiek met een voorbeeldverzamelingshiërarchie, opgesplitst per regio en afdeling, waarin de verdeling van machtigingen wordt weergegeven.

Gebruikers toevoegen aan rollen

Roltoewijzing wordt beheerd via de verzamelingen. Alleen een gebruiker met de rol verzamelingsbeheerder kan machtigingen verlenen aan andere gebruikers voor die verzameling. Wanneer er nieuwe machtigingen moeten worden toegevoegd, heeft een beheerder van de verzameling toegang tot purview Studio,gaat deze naar de gegevenskaart, gaat u naar het tabblad Verzamelingen en selecteert u de verzameling waar een gebruiker moet worden toegevoegd. Op het tabblad Roltoewijzingen kunnen ze gebruikers toevoegen en beheren die machtigingen nodig hebben.

Zie onze instructiegids voor het toevoegen van roltoewijzingenvoor volledige instructies.

Volgende stappen

Nu u een basiskennis hebt van verzamelingen en toegangsbeheer, volgt u de onderstaande handleidingen om deze verzamelingen te maken en te beheren, of om aan de slag te gaan met het registreren van bronnen in uw Purview-resource.