Verbinding maken Azure Data Lake Gen2 in Azure Purview

  • Artikel
  • 8 minuten om te lezen

In dit artikel wordt het proces beschreven voor het registreren van een Azure Data Lake Storage Gen2-gegevensbron in Azure Purview, inclusief instructies voor verificatie en interactie met de Azure Data Lake Storage Gen2-bron

Ondersteunde mogelijkheden

Extractie van metagegevens Volledige scan Incrementele scan Scan met bereik Classificatie Toegangsbeleid Herkomst
Ja Ja Ja Ja Ja Ja Beperkt**

** Herkomst wordt ondersteund als de gegevensset wordt gebruikt als bron/sink in Data Factory Copy-activiteit

Vereisten

Registreren

In deze sectie kunt u de gegevensbron ADLS Gen2 registreren en een geschikt verificatiemechanisme instellen om ervoor te zorgen dat de gegevensbron goed kan worden gescand.

Stappen voor het registreren

Het is belangrijk om de gegevensbron in Azure Purview te registreren voordat u een scan voor de gegevensbron instelt.

  1. Ga naar de Azure Portal,navigeer naar de pagina Accounts opsviewen en selecteer uw Purview-account

    Schermopname van het Purview-account dat wordt gebruikt om de gegevensbron te registreren

  2. Open Purview Studio en navigeer naar de Gegevenstoewijzing --> Sources

    Schermopname van de koppeling om Purview Studio te openen

    Schermopname die naar de koppeling Bronnen in de Gegevenstoewijzing

  3. Maak de verzamelingshiërarchie met behulp van het menu Verzamelingen en wijs zo nodig machtigingen toe aan afzonderlijke subverzamelingen

    Schermopname van het verzamelingsmenu voor het maken van een verzamelingshiërarchie

  4. Navigeer naar de juiste verzameling in het menu Bronnen en selecteer het pictogram Registreren om een nieuwe ADLS Gen2 registreren

    Schermopname van de verzameling die wordt gebruikt om de gegevensbron te registreren

  5. Selecteer de Azure Data Lake Storage Gen2-gegevensbron en selecteer Doorgaan

    Schermopname waarmee de gegevensbron kan worden geselecteerd

  6. Geef een geschikte Naam op voor de gegevensbron, selecteer het relevante Azure-abonnement, de bestaande Data Lake Store accountnaam en de verzameling en selecteer Toepassen

    Schermopname van de details die moeten worden ingevoerd om de gegevensbron te registreren

  7. Het ADLS Gen2 opslagaccount wordt weergegeven onder de geselecteerde verzameling

    Schermopname van de gegevensbron die is toewijst aan de verzameling om het scannen te initiëren

Scannen

Vereisten voor scannen

Als u toegang wilt hebben tot het scannen van de gegevensbron, moet een verificatiemethode in het ADLS Gen2 Storage-account worden geconfigureerd. De volgende opties worden ondersteund:

Notitie

Als u een firewall hebt ingeschakeld voor het opslagaccount, moet u de verificatiemethode voor beheerde identiteit gebruiken bij het instellen van een scan.

  • Door het systeem toegewezen beheerde identiteit (aanbevolen) : zodra het Azure Purview-account is gemaakt, wordt automatisch een door het systeem toegewezen beheerde identiteit (SAMI) gemaakt in de Azure AD-tenant. Afhankelijk van het type resource zijn specifieke RBAC-roltoewijzingen vereist voor de door het Azure Purview-systeem toegewezen beheerde identiteit (SAMI) om de scans uit te voeren.

  • Door de gebruiker toegewezen beheerde identiteit (preview) - Net als bij een door het systeem beheerde identiteit, is een door de gebruiker toegewezen beheerde identiteit (UAMI) een referentieresource die kan worden gebruikt om Azure Purview toe te staan te verifiëren op Azure Active Directory. Zie onze door de gebruiker toegewezen beheerde identiteitshandleiding voor meer informatie.

  • Accountsleutel: geheimen kunnen worden gemaakt in een Azure Key Vault om referenties op te slaan, zodat Azure Purview gegevensbronnen veilig kan scannen met behulp van de geheimen. Een geheim kan een opslagaccountsleutel, SQL aanmeldingswachtwoord of een wachtwoord zijn.

    Notitie

    Als u deze optie gebruikt, moet u een Azure Key Vault-resource implementeren in uw abonnement en de SAMI van het Azure Purview-account toewijzen met de vereiste toegangsrechten voor geheimen in Azure Key Vault.

  • Service-principal: in deze methode kunt u een nieuwe maken of een bestaande service-principal gebruiken in uw Azure Active Directory tenant.

Verificatie voor een scan

Een door het systeem of de gebruiker toegewezen beheerde identiteit gebruiken voor scannen

Het is belangrijk om uw Purview-account of door de gebruiker toegewezen beheerde identiteit (UAMI) de machtiging te geven om de gegevensbron ADLS Gen2 scannen. U kunt de door het systeem toegewezen beheerde identiteit van uw Purview-account (die dezelfde naam heeft als uw Purview-account) of UAMI toevoegen op abonnements-, resourcegroep- of resourceniveau, afhankelijk van welk niveau scanmachtigingen nodig zijn.

Notitie

U moet een eigenaar van het abonnement zijn om een beheerde identiteit aan een Azure-resource te kunnen toevoegen.

  1. Zoek in Azure Portalhet abonnement, de resourcegroep of de resource (bijvoorbeeld een Azure Data Lake Storage Gen2-opslagaccount) dat u wilt toestaan dat de catalogus scant.

    Schermopname van het opslagaccount

  2. Selecteer Access Control (IAM) in het linkernavigatievenster en selecteer vervolgens + Roltoewijzing --> toevoegen

    Schermopname van het toegangsbeheer voor het opslagaccount

  3. Stel de rol in op Storage blobgegevenslezer en voer de naam van uw Azure Purview-account of door de gebruiker toegewezen beheerde identiteit in onder het invoervak Selecteren. Selecteer vervolgens Opslaan om deze rol toe te wijzen aan uw Purview-account.

    Schermopname met de details voor het toewijzen van machtigingen voor het account Purview

Notitie

Zie de stappen in Toegang tot blobs en wachtrijen machtigen met behulp van Azure Active Directory

Notitie

Als u een firewall hebt ingeschakeld voor het opslagaccount, moet u de verificatiemethode voor beheerde identiteit gebruiken bij het instellen van een scan.

  1. Ga naar ADLS Gen2 opslagaccount in Azure Portal

  2. Navigeer naar Beveiliging en > Netwerken

    Schermopname met de details voor het verlenen van toegang tot de firewall

  3. Selecteer Geselecteerde netwerken onder Toegang toestaan vanuit

    Schermopname met de details voor het toestaan van toegang tot geselecteerde netwerken

  4. Selecteer in de sectie Uitzonderingen de optie Vertrouwde Microsoft-services toegang tot dit opslagaccount en klik op Opslaan

    Schermopname met de uitzonderingen om vertrouwde gebruikers Microsoft-services toegang te geven tot het opslagaccount

Accountsleutel gebruiken voor scannen

Wanneer de verificatiemethode Accountsleutel is geselecteerd, moet u uw toegangssleutel op halen en opslaan in de sleutelkluis:

  1. Navigeer naar ADLS Gen2 opslagaccount

  2. Selecteer Beveiliging en netwerk > Toegangssleutels

    Schermopname van de toegangssleutels in het opslagaccount

  3. Kopieer uw sleutel en sla deze afzonderlijk op voor de volgende stappen

    Schermopname van de te kopiëren toegangssleutels

  4. Navigeer naar uw sleutelkluis

    Schermopname van de sleutelkluis

  5. Selecteer Instellingen > en selecteer + Genereren/importeren Schermopname met de sleutelkluisoptie voor het genereren van een geheim

  6. Voer de naam en waarde in als sleutel uit uw opslagaccount

    Schermopname van de sleutelkluisoptie voor het invoeren van de geheime waarden

  7. Selecteer Maken om te voltooien

    Schermopname van de sleutelkluisoptie voor het maken van een geheim

  8. Als uw sleutelkluis nog niet is verbonden met Purview, moet u een nieuwe sleutelkluisverbinding maken

  9. Maak ten slotte een nieuwe referentie met behulp van de sleutel om uw scan in te stellen

Service-principal gebruiken voor scannen

Een nieuwe service-principal maken

Als u een nieuwe service-principalmoet maken, moet u een toepassing registreren in uw Azure AD-tenant en toegang verlenen tot de service-principal in uw gegevensbronnen. De globale beheerder van Azure AD of andere rollen, zoals Toepassingsbeheerder, kunnen deze bewerking uitvoeren.

De toepassings-id van de service-principal verkrijgen

  1. Kopieer de toepassings-id (client-id) die aanwezig is in het overzicht van de service-principal die al is gemaakt

    Schermopname met de toepassings-id (client-id) voor de service-principal

De service-principal toegang verlenen tot uw ADLS Gen2 account

Het is belangrijk om uw service-principal toestemming te geven om de ADLS Gen2 te scannen. U kunt toegang voor de service-principal toevoegen op abonnements-, resourcegroep- of resourceniveau, afhankelijk van het niveau dat scanmachtigingen nodig zijn.

Notitie

U moet een eigenaar van het abonnement zijn om een service-principal aan een Azure-resource te kunnen toevoegen.

  1. Zoek in Azure Portalhet abonnement, de resourcegroep of de resource (bijvoorbeeld een Azure Data Lake Storage Gen2-opslagaccount) dat u wilt toestaan dat de catalogus scant.

    Schermopname van het opslagaccount

  2. Selecteer Access Control (IAM) in het linkernavigatievenster en selecteer vervolgens + Roltoewijzing --> toevoegen

    Schermopname van het toegangsbeheer voor het opslagaccount

  3. Stel de rol in op Storage blobgegevenslezer en voer uw service-principal in onder het invoervak Selecteren. Selecteer vervolgens Opslaan om deze rol toe te wijzen aan uw Purview-account.

    Schermopname van de details voor het verlenen van machtigingen voor het opslagaccount aan de service-principal

De scan maken

  1. Open uw Purview-account en selecteer Purview Studio openen

  2. Navigeer naar Gegevenskaartbronnen --> om de verzamelingshiërarchie weer te geven

  3. Selecteer het pictogram Nieuwe scan onder de ADLS Gen2 eerder geregistreerde gegevensbron

    Schermopname van het scherm voor het maken van een nieuwe scan

Als u een door het systeem of de gebruiker toegewezen beheerde identiteit gebruikt

  1. Geef een Naam op voor de scan, selecteer de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit onder Referentie, kies de juiste verzameling voor de scan en selecteer Verbinding testen. Als de verbinding is geslaagd, selecteert u Doorgaan.

    Schermopname met de optie voor beheerde identiteit voor het uitvoeren van de scan

Als u accountsleutel gebruikt

  1. Geef een Naam op voor de scan, kies de juiste verzameling voor de scan en selecteer Verificatiemethode als Accountsleutel

    Schermopname van de optie Accountsleutel voor scannen

Als u service-principal gebruikt

  1. Geef een naam op voor de scan, kies de juiste verzameling voor de scan en selecteer + Nieuw onder Referentie

    Schermopname met de optie voor service-principal voor het inschakelen van scannen

  2. Selecteer de juiste Key Vault-verbinding en de geheime naam die is gebruikt tijdens het maken van de service-principal. De service-principal-id is de toepassings-id (client-id) die u eerder hebt gekopieerd.

    Schermopname van de optie service-principal

  3. Selecteer Verbinding testen. Als de verbinding is geslaagd, selecteert u Doorgaan

Bereik en de scan uitvoeren

  1. U kunt het bereik van uw scan tot specifieke mappen en submappen bepalen door de juiste items in de lijst te kiezen.

    Het bereik van uw scan opgeven

  2. Selecteer vervolgens een scanregelset. U kunt kiezen tussen de systeem standaardinstelling, bestaande aangepaste regelsets of inline een nieuwe regelset maken.

    Scanregelset

  3. Als u een nieuwe scanregelset maakt, selecteert u de bestandstypen die moeten worden opgenomen in de scanregel.

    Bestandstypen van regelset scannen

  4. U kunt de classificatieregels selecteren die moeten worden opgenomen in de scanregel

    Classificatieregels voor scanregelset

    Selectie van scanregelset

  5. Kies de scantrigger. U kunt een schema instellen of de scan eenmalig uitvoeren.

    trigger voor scannen

  6. Controleer uw scan en selecteer Opslaan en uitvoeren.

    scan controleren

Uw scans en scan-runs weergeven

Ga als volgt te werk om bestaande scans te bekijken:

  1. Ga naar Purview Studio. Selecteer het Gegevenstoewijzing in het linkerdeelvenster.

  2. Selecteer de gewenste gegevensbron. U ziet een lijst met bestaande scans op die gegevensbron onder Recente scans of u kunt alle scans bekijken op het tabblad Scans.

  3. Selecteer de scan met resultaten die u wilt weergeven.

  4. Op deze pagina ziet u alle eerdere scanruns, samen met de status en metrische gegevens voor elke scan. Ook wordt weergegeven of uw scan gepland of handmatig is uitgevoerd, op hoeveel assets classificaties waren toegepast, hoeveel assets zijn ontdekt, de begin- en eindtijd van de scan en de totale duur van de scan.

Uw scans beheren - bewerken, verwijderen of annuleren

Doe het volgende om een scan te beheren of te verwijderen:

  1. Ga naar Purview Studio. Selecteer het Gegevenstoewijzing in het linkerdeelvenster.

  2. Selecteer de gewenste gegevensbron. U ziet een lijst met bestaande scans op die gegevensbron onder Recente scans of u kunt alle scans bekijken op het tabblad Scans.

  3. Selecteer de share die u wilt beheren. U kunt de scan bewerken door Scan bewerken te selecteren.

  4. U kunt een scan die wordt uitgevoerd annuleren door Scan uitvoeren annuleren te selecteren.

  5. U kunt uw scan verwijderen door Scan verwijderen te selecteren.

Notitie

  • Als u de scan verwijdert, worden catalogusactiva die zijn gemaakt op eerdere scans, niet verwijderd.
  • De asset wordt niet meer bijgewerkt met schemawijzigingen als uw brontabel is gewijzigd en u scant de brontabel opnieuw na het bewerken van de beschrijving op het schematabblad van Purview.

Toegangsbeleid

Ondersteunde regio’s

Azure Purview (beheerzijde)

De mogelijkheid om toegangsbeleid op te geven is beschikbaar in alle Azure Purview-regio's

Azure Storage (afdwingingszijde)

Toegangsbeleid voor toegang opseenvolgend beleid kan alleen worden afgedwongen in de Azure Storage regio's

  • Frankrijk - centraal
  • Canada - midden

Afdwinging van toegangsbeleid inschakelen voor Azure Storage account

De volgende PowerShell-opdrachten moeten worden uitgevoerd in het abonnement waarin Azure Storage-account zich bevindt. Dit is van Azure Storage accounts in dat abonnement.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Als in de uitvoer van de laatste opdracht de waarde 'RegistrationState' als 'Geregistreerd' wordt weer gegeven, wordt uw abonnement ingeschakeld voor deze functionaliteit.

Volg deze configuratiehandleiding om toegangsbeleid in te Azure Storage een account

Volgende stappen

Nu u uw bron hebt geregistreerd, volgt u de onderstaande handleidingen voor meer informatie over Purview en uw gegevens.