Zelfstudie: Gereedheid van gegevensbron op schaal controleren
Voor het scannen van gegevensbronnen heeft Azure Purview toegang tot deze bronnen nodig. Er worden referenties gebruikt om deze toegang te verkrijgen. Een referentie is de verificatiegegevens die Azure Purview kan gebruiken om te verifiëren bij uw geregistreerde gegevensbronnen. Er zijn een aantal manieren om de referenties voor Azure Purview in te stellen, waaronder:
- De beheerde identiteit die is toegewezen aan het Azure Purview-account.
- Geheimen die zijn opgeslagen in Azure Key Vault.
- Service-principals.
In deze tweedelige reeks zelfstudies helpen we u bij het op schaal controleren en configureren van vereiste Azure-roltoewijzingen en netwerktoegang voor verschillende Azure-gegevensbronnen in uw Azure-abonnementen. Vervolgens kunt u uw Azure-gegevensbronnen registreren en scannen in Azure Purview.
Voer het controlelijstscript voor gereedheid van Azure Purview-gegevensbronnen uit nadat u uw Azure Purview-account hebt geïmplementeerd en voordat u uw Azure-gegevensbronnen registreert en scant.
In deel 1 van deze reeks zelfstudies gaat u het volgende doen:
- Zoek uw gegevensbronnen en bereid een lijst met gegevensbronabonnementen voor.
- Voer het controlelijstscript voor gereedheid uit om ontbrekende op rollen gebaseerd toegangsbeheer (RBAC) of netwerkconfiguraties in uw gegevensbronnen in Azure te vinden.
- Bekijk ontbrekende netwerkconfiguraties en roltoewijzingen die zijn vereist voor Azure Purview Managed Identity (MSI) in het uitvoerrapport.
- Deel het rapport met eigenaren van gegevens van Azure-abonnementen, zodat ze voorgestelde acties kunnen ondernemen.
Vereisten
- Azure-abonnementen waarin uw gegevensbronnen zich bevinden. Als u geen abonnement op Azure hebt, maakt u een gratis account voordat u begint.
- Een Azure Purview-account.
- Een Azure Key Vault resource in elk abonnement met gegevensbronnen zoals Azure SQL Database, Azure Synapse Analytics of Azure SQL Managed Instance.
- Het controlelijstscript voor gereedheid van Azure Purview-gegevensbronnen.
Notitie
De controlelijst voor gereedheid van Azure Purview-gegevensbronnen is alleen beschikbaar voor Windows. Dit script voor de controlelijst voor gereedheid wordt momenteel ondersteund voor Azure Purview MSI.
De lijst met Azure-abonnementen voorbereiden voor gegevensbronnen
Voordat u het script gaat uitvoeren, maakt u .csv bestand (bijvoorbeeld C:\temp\Subscriptions.csv) met vier kolommen:
| Kolomnaam | Beschrijving | Voorbeeld |
|---|---|---|
SubscriptionId |
Azure-abonnements-ID's voor uw gegevensbronnen. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Naam van bestaande sleutelkluis die is geïmplementeerd in het gegevensbronabonnement. | ContosoDevKeyVault |
SecretNameSQLUserName |
Naam van een bestaand Azure Key Vault-geheim met een Azure Active Directory-gebruikersnaam (Azure AD) die kan worden aanmelden bij Azure Synapse, Azure SQL Database of Azure SQL Managed Instance met behulp van Azure AD-verificatie. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Naam van een bestaand Azure Key Vault-geheim met een Azure AD-gebruikerswachtwoord dat kan worden aanmelden bij Azure Synapse, Azure SQL Database of Azure SQL Managed Instance met behulp van Azure AD-verificatie. | ContosoDevSQLPassword |
Voorbeeld van .csv bestand:
Notitie
Indien nodig kunt u de bestandsnaam en het pad in de code bijwerken.
Voer het script uit en installeer de vereiste PowerShell-modules
Volg deze stappen om het script uit te voeren vanaf Windows computer:
Download het controlelijstscript voor gereedheid van Azure Purview-gegevensbronnen naar de locatie van uw keuze.
Voer op uw computer PowerShell in het zoekvak op de Windows-taakbalk in. Selecteer in de zoeklijst de optie en houd deze ingedrukt (of klik met de rechtermuisknop) Windows PowerShell selecteer vervolgens Als administrator uitvoeren.
Voer in het PowerShell-venster de volgende opdracht in. (Vervang
<path-to-script>door het mappad van het uitgepakte scriptbestand.)dir -Path <path-to-script> | Unblock-FileVoer de volgende opdracht in om de Azure-cmdlets te installeren:
Install-Module -Name Az -AllowClobber -Scope CurrentUserAls u de prompt Ziet dat NuGet-provider is vereist om door te gaan, voert u Y in en selecteert u enter.
Als u de prompt Niet-vertrouwde opslagplaats ziet, voert u A in en selecteert u Enter.
Herhaal de vorige stappen om de
Az.Synapsemodules en teAzureADinstalleren.
Het kan een minuut duren voordat PowerShell de vereiste modules heeft geïnstalleerd.
Andere gegevens verzamelen die nodig zijn om het script uit te voeren
Voordat u het PowerShell-script gaat uitvoeren om de gereedheid van gegevensbronabonnementen te controleren, moet u de waarden van de volgende argumenten verkrijgen voor gebruik in de scripts:
AzureDataType: Kies een van de volgende opties als uw gegevensbrontype om de gereedheid voor het gegevenstype voor uw abonnementen te controleren:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: de resourcenaam van uw bestaande Azure Purview-account.PurviewSub: Abonnements-id waar het Azure Purview-account wordt geïmplementeerd.
Uw machtigingen controleren
Zorg ervoor dat uw gebruiker de volgende rollen en machtigingen heeft:
| Rol of machtiging | Bereik |
|---|---|
| Algemene lezer | Azure AD-tenant |
| Lezer | Azure-abonnementen waarin uw Azure-gegevensbronnen zich bevinden |
| Lezer | Abonnement waarin uw Azure Purview-account is gemaakt |
| SQL Admin (Azure AD-verificatie) | Azure Synapse toegewezen pools, Azure SQL Database s, Azure SQL beheerde exemplaren |
| Toegang tot uw Azure-sleutelkluis | Toegang tot het geheim van de sleutelkluis of een Azure Key Vault gebruiker |
Het gereedheidsscript aan de clientzijde uitvoeren
Voer het script uit door deze stappen uit te voeren:
Gebruik de volgende opdracht om naar de map van het script te gaan. Vervang
<path-to-script>door het mappad van het geëxtraheerde bestand.cd <path-to-script>Voer de volgende opdracht uit om het uitvoeringsbeleid voor de lokale computer in te stellen. Voer A in bij Ja op alles wanneer u wordt gevraagd het uitvoeringsbeleid te wijzigen.
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedVoer het script uit met de volgende parameters. Vervang de tijdelijke aanduidingen
DataType,PurviewNameenSubscriptionID..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>Wanneer u de opdracht hebt uitgevoerd, wordt er mogelijk twee keer een pop-upvenster weergegeven waarin u wordt gevraagd u aan te melden bij Azure en Azure AD met behulp van uw Azure Active Directory referenties.
Het kan enkele minuten duren om het rapport te maken, afhankelijk van het aantal Azure-abonnementen en -resources in de omgeving.
Nadat het proces is voltooid, bekijkt u het uitvoerrapport, waarin de gedetecteerde ontbrekende configuraties in uw Azure-abonnementen of -resources worden gedemonstreerd. De resultaten kunnen worden weergegeven als Doorgegeven, Niet doorgegeven of Bewustzijn. U kunt de resultaten delen met de bijbehorende abonnementsbeheerders in uw organisatie, zodat ze de vereiste instellingen kunnen configureren.
Meer informatie
Welke gegevensbronnen worden ondersteund door het script?
Op dit moment worden de volgende gegevensbronnen ondersteund door het script:
- Azure Blob Storage (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL Database (AzureSQLDB)
- Azure SQL Managed Instance (AzureSQLMI)
- Azure Synapse (Synapse) toegewezen pool
U kunt alle of een van deze gegevensbronnen als invoerparameter kiezen wanneer u het script uit te voeren.
Welke controles zijn opgenomen in de resultaten?
Azure Blob Storage (BlobStorage)
- RBAC. Controleer of aan Azure Purview MSI de rol Storage Blob Data Reader is toegewezen in elk van de abonnementen onder het geselecteerde bereik.
- RBAC. Controleer of aan Azure Purview MSI de rol Lezer is toegewezen voor het geselecteerde bereik.
- Service-eindpunt. Controleer of het service-eindpunt is ingeschakeld en controleer of Vertrouwde Microsoft-services toegang tot dit opslagaccount is ingeschakeld.
- Netwerken: Controleer of er een privé-eindpunt is gemaakt voor opslag en of dit is ingeschakeld voor Blob Storage.
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC. Controleer of aan Azure Purview MSI de rol blob Storage gegevenslezer is toegewezen in elk van de abonnementen onder het geselecteerde bereik.
- RBAC. Controleer of aan Azure Purview MSI de rol Lezer is toegewezen voor het geselecteerde bereik.
- Service-eindpunt. Controleer of het service-eindpunt is ingeschakeld en controleer of Vertrouwde Microsoft-services toegang tot dit opslagaccount is ingeschakeld.
- Netwerken: Controleer of er een privé-eindpunt is gemaakt voor opslag en of dit is ingeschakeld voor Blob Storage.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Networking. Controleer of het service-eindpunt is ingeschakeld en controleer of Alle Azure-services toegang geven tot dit Data Lake Storage Gen1-account is ingeschakeld.
- Machtigingen. Controleer of Azure Purview MSI lees-/uitvoermachtigingen heeft.
Azure SQL Database (AzureSQLDB)
SQL Server instanties:
- Netwerk. Controleer of openbaar eindpunt of privé-eindpunt is ingeschakeld.
- Firewall. Controleer of Toegang van Azure-services en -resources tot deze server toestaan is ingeschakeld.
- Azure AD-beheer. Controleer of Azure SQL Server Azure AD-verificatie heeft.
- Azure AD-beheer. Vul de Gebruiker of groep SQL Server Azure AD-beheerder in.
SQL databases:
- SQL rol. Controleer of aan Azure Purview MSI de db_datareader toegewezen.
Azure SQL Managed Instance (AzureSQLMI)
SQL Managed Instance-servers:
- Netwerk. Controleer of openbaar eindpunt of privé-eindpunt is ingeschakeld.
- ProxyOverride. Controleer of Azure SQL Managed Instance is geconfigureerd als proxy of omleiding.
- Networking. Controleer of de NSG een binnenkomende regel heeft om AzureCloud via de vereiste poorten toe te staan:
- Omleiding: 1433 en 11000-11999
of - Proxy: 3342
- Omleiding: 1433 en 11000-11999
- Azure AD-beheer. Controleer of Azure SQL Server Azure AD-verificatie heeft.
- Azure AD-beheer. Vul de Gebruiker of groep SQL Server Azure AD-beheerder in.
SQL databases:
- SQL rol. Controleer of aan Azure Purview MSI de db_datareader toegewezen.
Azure Synapse (Synapse) toegewezen pool
RBAC. Controleer of aan Azure Purview MSI de rol blob Storage gegevenslezer is toegewezen in elk van de abonnementen onder het geselecteerde bereik.
RBAC. Controleer of aan Azure Purview MSI de rol Lezer is toegewezen voor het geselecteerde bereik.
SQL Server exemplaren (toegewezen pools):
- Netwerk: controleer of openbaar eindpunt of privé-eindpunt is ingeschakeld.
- Firewall: controleer of Toegang van Azure-services en -resources tot deze server toestaan is ingeschakeld.
- Azure AD-beheer: Controleer of Azure SQL Server Azure AD-verificatie heeft.
- Azure AD-beheer: Vul de Gebruiker of groep SQL Server Azure AD-beheerder in.
SQL databases:
- SQL rol. Controleer of aan Azure Purview MSI de db_datareader toegewezen.
Volgende stappen
In deze zelfstudie heeft u het volgende geleerd:
- Voer de controlelijst voor Azure Purview-gereedheid uit om op schaal te controleren of er configuratie ontbreekt voor uw Azure-abonnementen, voordat u ze registreert en scant in Azure Purview.
Ga naar de volgende zelfstudie voor meer informatie over het identificeren van de vereiste toegang en het instellen van de vereiste verificatie- en netwerkregels voor Azure Purview voor Azure-gegevensbronnen: