Verbinding maken naar Azure Blob Storage in Azure Purview

  • Artikel
  • 8 minuten om te lezen

Dit artikel bevat een overzicht van het proces voor het registreren van een Azure Blob Storage-account in Azure Purview, inclusief instructies voor het verifiëren en gebruiken van de Azure Blob Storage-bron

Ondersteunde mogelijkheden

Extractie van metagegevens Volledige scan Incrementele scan Scannen met bereik Classificatie Toegangsbeleid Herkomst
Ja Ja Ja Ja Ja Ja Beperkt**

** Herkomst wordt ondersteund als de gegevensset wordt gebruikt als bron/sink in Data Factory Copy-activiteit

Voor bestandstypen zoals csv, tsv, psv, ssv wordt het schema geëxtraheerd wanneer de volgende logica wordt gebruikt:

  • Waarden van de eerste rij zijn niet leeg
  • Waarden van de eerste rij zijn uniek
  • Waarden van de eerste rij zijn geen datum of getal

Vereisten

Registreren

In deze sectie kunt u het Azure Blob Storage-account registreren en een geschikt verificatiemechanisme instellen om ervoor te zorgen dat de gegevensbron goed kan worden gescand.

Stappen om te registreren

Het is belangrijk om de gegevensbron in Azure Purview te registreren voordat u een scan voor de gegevensbron instelt.

  1. Ga naar de Azure Portal,navigeer naar de pagina Accounts bekijken en selecteer uw Purview-account

    Schermopname van het Purview-account dat wordt gebruikt om de gegevensbron te registreren

  2. Open Purview Studio en navigeer naar de Gegevenstoewijzing --> Sources

    Schermopname van de koppeling om Purview Studio te openen

    Schermopname die naar de koppeling Bronnen in de Gegevenstoewijzing

  3. Maak de verzamelingshiërarchie met behulp van het menu Verzamelingen en wijs zo nodig machtigingen toe aan afzonderlijke subverzamelingen

    Schermopname van het verzamelingmenu voor het maken van een verzamelingshiërarchie

  4. Navigeer naar de juiste verzameling in het menu Bronnen en selecteer het pictogram Registreren om een nieuwe Azure Blob-gegevensbron te registreren

    Schermopname van de verzameling die wordt gebruikt om de gegevensbron te registreren

  5. Selecteer de Azure Blob Storage gegevensbron en selecteer Doorgaan

    Schermopname waarmee de gegevensbron kan worden geselecteerd

  6. Geef een geschikte Naam op voor de gegevensbron, selecteer het relevante Azure-abonnement, de bestaande Azure Blob Storage-accountnaam en de verzameling en selecteer Toepassen

    Schermopname met de details die moeten worden ingevoerd om de gegevensbron te registreren

  7. Het Azure Blob Storage-account wordt weergegeven onder de geselecteerde verzameling

    Schermopname van de gegevensbron die is toewijst aan de verzameling om het scannen te initiëren

Scannen

Verificatie voor een scan

Als u toegang wilt hebben tot het scannen van de gegevensbron, moet een verificatiemethode in het Azure Blob Storage-account worden geconfigureerd.

De volgende opties worden ondersteund:

Notitie

Als u een firewall hebt ingeschakeld voor het opslagaccount, moet u de verificatiemethode voor beheerde identiteit gebruiken bij het instellen van een scan.

  • Door het systeem toegewezen beheerde identiteit (aanbevolen) : zodra het Azure Purview-account is gemaakt, wordt automatisch een door het systeem toegewezen beheerde identiteit (SAMI) gemaakt in de Azure AD-tenant. Afhankelijk van het type resource zijn specifieke RBAC-roltoewijzingen vereist voor de Azure Purview SAMI om de scans uit te voeren.

  • Door de gebruiker toegewezen beheerde identiteit (preview) - Net als bij een door het systeem beheerde identiteit, is een door de gebruiker toegewezen beheerde identiteit (UAMI) een referentieresource die kan worden gebruikt om Azure Purview toe te staan verificatie uit te Azure Active Directory. Zie onze door de gebruiker toegewezen beheerde identiteitshandleiding voor meer informatie.

  • Accountsleutel: geheimen kunnen worden gemaakt in een Azure Key Vault referenties op te slaan, zodat Azure Purview gegevensbronnen veilig kan scannen met behulp van de geheimen. Een geheim kan een sleutel van een opslagaccount, SQL aanmeldingswachtwoord of een wachtwoord zijn.

    Notitie

    Als u deze optie gebruikt, moet u een Azure Key Vault-resource implementeren in uw abonnement en de SAMI van het Azure Purview-account toewijzen met de vereiste toegangsrechten voor geheimen in Azure Key Vault.

  • Service-principal: in deze methode kunt u een nieuwe maken of een bestaande service-principal gebruiken in uw Azure Active Directory tenant.

Een door het systeem of de gebruiker toegewezen beheerde identiteit gebruiken voor scannen

Het is belangrijk dat u uw Purview-account de machtiging geeft om de Azure Blob-gegevensbron te scannen. U kunt toegang voor de SAMI of UAMI toevoegen op abonnements-, resourcegroep- of resourceniveau, afhankelijk van welk niveau scanmachtiging nodig is.

Notitie

Als u een firewall hebt ingeschakeld voor het opslagaccount, moet u de verificatiemethode voor beheerde identiteit gebruiken bij het instellen van een scan.

Notitie

U moet een eigenaar van het abonnement zijn om een beheerde identiteit aan een Azure-resource te kunnen toevoegen.

  1. Zoek in Azure Portalhet abonnement, de resourcegroep of de resource (bijvoorbeeld een Azure Blob Storage-account) dat u wilt toestaan dat de catalogus kan scannen.

    Schermopname van het opslagaccount

  2. Selecteer Access Control (IAM) in het linkernavigatievenster en selecteer vervolgens + Roltoewijzing --> toevoegen

    Schermopname van het toegangsbeheer voor het opslagaccount

  3. Stel rol in op Storage Blob Data Reader en voer uw Azure Purview-accountnaam of door de gebruiker toegewezen beheerde identiteit in onder Invoervak selecteren. Selecteer vervolgens Opslaan om deze rol toe te wijzen aan uw Purview-account.

    Schermopname van de details voor het toewijzen van machtigingen voor het account Purview

  4. Ga naar uw Azure Blob Storage-account in Azure Portal

  5. Navigeer naar Beveiliging en > Netwerken

  6. Selecteer Geselecteerde netwerken onder Toegang toestaan vanuit

  7. Selecteer in de sectie Uitzonderingen de optie Vertrouwde Microsoft-services toegang tot dit opslagaccount en klik op Opslaan

    Schermopname van de uitzonderingen waarmee vertrouwde gebruikers Microsoft-services toegang krijgen tot het opslagaccount

Notitie

Zie de stappen in Toegang tot blobs en wachtrijen machtigen met behulp van Azure Active Directory

Accountsleutel gebruiken voor scannen

Wanneer de verificatiemethode Accountsleutel is geselecteerd, moet u uw toegangssleutel op halen en opslaan in de sleutelkluis:

  1. Navigeer naar uw Azure Blob Storage-account

  2. Selecteer Beveiliging en netwerk > Toegangssleutels

    Schermopname van de toegangssleutels in het opslagaccount

  3. Kopieer uw sleutel en sla deze afzonderlijk op voor de volgende stappen

    Schermopname van de te kopiëren toegangssleutels

  4. Navigeer naar uw sleutelkluis

    Schermopname van de sleutelkluis

  5. Selecteer Instellingen > geheimen en selecteer + Genereren/importeren

    Schermopname van de sleutelkluisoptie voor het genereren van een geheim

  6. Voer de naam en waarde in als sleutel van uw opslagaccount

    Schermopname van de sleutelkluisoptie voor het invoeren van de geheime waarden

  7. Selecteer Maken om te voltooien

  8. Als uw sleutelkluis nog niet is verbonden met Purview, moet u een nieuwe sleutelkluisverbinding maken

  9. Maak ten slotte een nieuwe referentie met behulp van de sleutel om uw scan in te stellen

Service-principal gebruiken voor scannen

Een nieuwe service-principal maken

Als u een nieuwe service-principalmoet maken, moet u een toepassing registreren in uw Azure AD-tenant en toegang verlenen tot de service-principal in uw gegevensbronnen. De globale beheerder van Azure AD of andere rollen, zoals Toepassingsbeheerder, kunnen deze bewerking uitvoeren.

De toepassings-id van de service-principal verkrijgen

  1. Kopieer de toepassings-id (client-id) die aanwezig is in het overzicht van de service-principal die al is gemaakt

    Schermopname met de toepassings-id (client-id) voor de service-principal

De service-principal toegang verlenen tot uw Azure Blob-account

Het is belangrijk om uw service-principal toestemming te geven om de Azure Blob-gegevensbron te scannen. U kunt toegang voor de service-principal toevoegen op abonnements-, resourcegroep- of resourceniveau, afhankelijk van het niveau dat scantoegang nodig is.

Notitie

U moet een eigenaar van het abonnement zijn om een service-principal aan een Azure-resource te kunnen toevoegen.

  1. Zoek in Azure Portalhet abonnement, de resourcegroep of de resource (bijvoorbeeld een Azure Blob Storage-opslagaccount) dat u wilt toestaan dat de catalogus kan scannen.

    Schermopname van het opslagaccount

  2. Selecteer Access Control (IAM) in het linkernavigatievenster en selecteer vervolgens + Roltoewijzing --> toevoegen

    Schermopname van het toegangsbeheer voor het opslagaccount

  3. Stel de rol in op Storage blobgegevenslezer en voer uw service-principal in onder het invoervak Selecteren. Selecteer vervolgens Opslaan om deze rol toe te wijzen aan uw Purview-account.

    Schermopname van de details voor het verlenen van machtigingen voor het opslagaccount aan de service-principal

De scan maken

  1. Open uw Purview-account en selecteer Purview Studio openen

  2. Navigeer naar Gegevenskaartbronnen --> om de verzamelingshiërarchie weer te geven

  3. Selecteer het pictogram Nieuwe scan onder de eerder geregistreerde Azure Blob-gegevensbron

    Schermopname van het scherm voor het maken van een nieuwe scan

Als u een door het systeem of de gebruiker toegewezen beheerde identiteit gebruikt

Geef een Naam op voor de scan, selecteer de account SAMI of UAMI opsnuwen onder Referentie, kies de juiste verzameling voor de scan en selecteer Verbinding testen. Als de verbinding is geslaagd, selecteert u Doorgaan

Schermopname met de optie voor beheerde identiteit voor het uitvoeren van de scan

Als u accountsleutel gebruikt

Geef een Naam op voor de scan, kies de juiste verzameling voor de scan en selecteer Verificatiemethode als Accountsleutel en selecteer Maken

Schermopname van de optie Accountsleutel voor scannen

Als u service-principal gebruikt

  1. Geef een naam op voor de scan, kies de juiste verzameling voor de scan en selecteer + Nieuw onder Referentie

    Schermopname met de optie voor service-principal voor het inschakelen van scannen

  2. Selecteer de juiste Key Vault-verbinding en de geheime naam die is gebruikt tijdens het maken van de service-principal. De service-principal-id is de toepassings-id (client-id) die u eerder hebt gekopieerd

    Schermopname van de optie service-principal

  3. Selecteer Verbinding testen. Als de verbinding is geslaagd, selecteert u Doorgaan

Bereik van de scan en het uitvoeren van de scan

  1. U kunt het bereik van uw scan tot specifieke mappen en submappen bepalen door de juiste items in de lijst te kiezen.

    Het bereik van uw scan opgeven

  2. Selecteer vervolgens een scanregelset. U kunt kiezen tussen de systeem standaardinstelling, bestaande aangepaste regelsets of inline een nieuwe regelset maken.

    Scanregelset

  3. Als u een nieuwe scanregelset maakt, selecteert u de bestandstypen die moeten worden opgenomen in de scanregel.

    Bestandstypen van regelset scannen

  4. U kunt de classificatieregels selecteren die moeten worden opgenomen in de scanregel

    Classificatieregels voor scanregelset

    Selectie van scanregelset

  5. Kies de scantrigger. U kunt een schema instellen of de scan eenmalig uitvoeren.

    trigger voor scannen

  6. Controleer uw scan en selecteer Opslaan en uitvoeren.

    scan controleren

Scan weergeven

  1. Navigeer naar de gegevensbron in de verzameling en selecteer Details weergeven om de status van de scan te controleren

    scan weergeven

  2. De scandetails geven de voortgang van de scan aan in de status Laatste uitvoering en het aantal gescande en geclassificeerde assets

    scandetails weergeven

  3. De status Van laatste uitvoering wordt bijgewerkt naar Wordt uitgevoerd en vervolgens voltooid zodra de volledige scan is uitgevoerd

    scan wordt uitgevoerd weergeven

    scan voltooid weergeven

Scan beheren

Scans kunnen na voltooiing worden beheerd of opnieuw worden uitgevoerd

  1. Selecteer de scannaam om de scan te beheren

    scan beheren

  2. U kunt de scan opnieuw uitvoeren, de scan bewerken en de scan verwijderen

    scanopties beheren

  3. U kunt een incrementele scan of een volledige scan opnieuw uitvoeren

    volledige of incrementele scan

Toegangsbeleid

Ondersteunde regio’s

Azure Purview (beheerzijde)

De mogelijkheid om toegangsbeleid op te geven is beschikbaar in alle Azure Purview-regio's

Azure Storage (afdwingingszijde)

Toegangsbeleid voor toegang opseenvolgend beleid kan alleen worden afgedwongen in de Azure Storage regio's

  • Frankrijk - centraal
  • Canada - midden

Afdwinging van toegangsbeleid inschakelen voor Azure Storage account

De volgende PowerShell-opdrachten moeten worden uitgevoerd in het abonnement waarin Azure Storage-account zich bevindt. Dit is van Azure Storage accounts in dat abonnement.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Als in de uitvoer van de laatste opdracht de waarde 'RegistrationState' als 'Geregistreerd' wordt weer gegeven, wordt uw abonnement ingeschakeld voor deze functionaliteit.

Volg deze configuratiehandleiding om toegangsbeleid in te Azure Storage een account

Volgende stappen

Nu u uw bron hebt geregistreerd, volgt u de onderstaande handleidingen voor meer informatie over Purview en uw gegevens.