Подготовка доступа на чтение к службе хранилища Azure с помощью политик владельца данных Microsoft Purview (предварительная версия)

Важно!

Сейчас эта функция доступна в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.

Политики владельца данных — это тип политик доступа Microsoft Purview. Они позволяют управлять доступом к пользовательским данным в источниках, зарегистрированных для управления использованием данных в Microsoft Purview. Эти политики можно создать непосредственно на портале управления Microsoft Purview, и после публикации они применяются источником данных.

В этом руководстве описывается, как владелец данных может делегировать в Microsoft Purview управление доступом к наборам данных службы хранилища Azure. В настоящее время поддерживаются следующие два источника службы хранилища Azure:

• Хранилище BLOB-объектов
• Azure Data Lake Storage (ADLS) 2-го поколения

Предварительные требования

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

• Новая или существующая учетная запись Microsoft Purview. Следуйте инструкциям из этого краткого руководства, чтобы создать его.

Поддержка регионов

• Поддерживаются все регионы Microsoft Purview .
• Учетные записи хранения в следующих регионах поддерживаются без дополнительной настройки. Однако учетные записи хранилища с избыточностью между зонами (ZRS) не поддерживаются.
  • Восточная часть США
  • Восточная часть США2
  • Центрально-южная часть США
  • Западная часть США 2
  • Центральная Канада
  • Северная Европа
  • Западная Европа
  • Центральная Франция
  • Южная часть Соединенного Королевства
  • Юго-Восточная Азия
  • Восток Австралии
• Учетные записи хранения в других регионах общедоступного облака поддерживаются после установки флага функции AllowPurviewPolicyEnforcement, как описано в следующем разделе. Вновь созданные учетные записи хранения ZRS поддерживаются, если они созданы после установки флага компонента AllowPurviewPolicyEnforcement.

При необходимости вы можете создать учетную запись хранения, следуя этому руководству.

Настройка подписки, в которой находится учетная запись хранения Azure для политик из Microsoft Purview

Этот шаг необходим только в определенных регионах (см. предыдущий раздел). Чтобы разрешить Microsoft Purview управлять политиками для одной или нескольких учетных записей хранения Azure, выполните следующие команды PowerShell в подписке, в которой будет развернута учетная запись хранения Azure. Эти команды PowerShell позволят Microsoft Purview управлять политиками во всех учетных записях хранения Azure в этой подписке.

Если вы выполняете эти команды локально, обязательно запустите PowerShell от имени администратора. Кроме того, можно использовать Cloud Shell Azure в портал Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Если в выходных данных последней команды параметр RegistrationState отображается как зарегистрированный, в подписке включены политики доступа. Если выходные данные регистрируются, подождите не менее 10 минут, а затем повторите команду. Не продолжайте работу до тех пор, пока в поле RegistrationState не отобразится значение Зарегистрировано.

Конфигурация Microsoft Purview

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения управления использованием данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения управления использованием данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить управление использованием данных, необходимо иметь определенные привилегии управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

• Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

  • Владелец IAM
  • Участник IAM и администратор доступа пользователей IAM

  Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

  

  Примечание.

  Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Azure AD пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

• Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

  На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

  

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

• Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
• Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Azure AD пользователей или групп при создании или обновлении темы политики вы можете получить разрешение "Читатели каталогов" в Azure AD. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения ресурса для управления использованием данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источников данных в Microsoft Purview для управления использованием данных

Ресурсы службы хранилища Azure необходимо сначала зарегистрировать в Microsoft Purview, чтобы затем определить политики доступа.

Чтобы зарегистрировать ресурсы, следуйте инструкциям в разделах Предварительные требования и Регистрация в следующих руководствах.

• Регистрация и сканирование BLOB-объекта службы хранилища Azure — Microsoft Purview

• Регистрация и проверка Azure Data Lake Storage (ADLS) 2-го поколения — Microsoft Purview

После регистрации ресурсов необходимо включить управление использованием данных. Управление использованием данных требует определенных разрешений и может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview для управления доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с управлением использованием данных, в этом руководстве: Включение управления использованием данных

После включения переключателяУправление использованием данных в источнике данных он будет выглядеть следующим образом:

Создание и публикация политики владельца данных

Выполните действия, описанные в разделах Создание новой политики и Публикация политикируководства по созданию политики владельца данных. Результатом будет политика владельца данных, похожая на пример, показанный на изображении: политика, которая предоставляет группе Contoso Team доступ на чтение к учетной записи хранения marketinglake1:

Важно!

• Публикация — это фоновая операция. Для отражения изменений учетных записей службы хранилища Azure может потребоваться до 2 часов .

Отмена публикации политики владельца данных

Перейдите по этой ссылке, чтобы отменить публикацию политики владельца данных в Microsoft Purview.

Обновление или удаление политики владельца данных

Перейдите по этой ссылке, чтобы обновить или удалить политику владельца данных в Microsoft Purview.

Потребление данных

• Потребитель данных может получить доступ к запрошенным набору данных с помощью таких средств, как Power BI или рабочая область Azure Synapse Analytics.
• Команды Копирования и клонирования в Обозреватель службы хранилища Azure требуют дополнительных разрешений IAM для работы в дополнение к политике Разрешить изменение из Purview. Укажите разрешение Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action в IAM субъекту Azure AD.
• Доступ к подконтейнеру. Поддерживаются инструкции политики, заданные ниже уровня контейнера в учетной записи хранения. Однако пользователи не смогут перейти к ресурсу данных с помощью браузера хранилища портал Azure или средства Обозреватель службы хранилища Microsoft Azure, если доступ предоставляется только на уровне файла или папки учетной записи хранения Azure. Это связано с тем, что эти приложения пытаются выполнить обход вниз по иерархии, начиная с уровня контейнера, и запрос завершается ошибкой, так как на этом уровне не предоставлен доступ. Вместо этого приложение, запрашивающее данные, должно осуществлять прямой доступ, предоставляя полное имя объекта данных. В следующих документах показаны примеры выполнения прямого доступа. См. также блоги в разделе Дальнейшие действия этого руководства.
  • abfs для ADLS 2-го поколения
  • az storage blob download for BLOB Storage

Дополнительные сведения

• Создание политики на уровне учетной записи хранения позволит субъектам получать доступ к системным контейнерам, например $logs. Если это нежелательно, сначала проверьте источники данных, а затем создайте более детализированные политики для каждого из них (то есть на уровне контейнера или подконтейнеров).
• Корневой BLOB-объект в контейнере будет доступен Azure AD субъектам в политике RBAC разрешенного типа Microsoft Purview, если область такой политики — подписка, группа ресурсов, учетная запись хранения или контейнер в учетной записи хранения.
• Корневой контейнер в учетной записи хранения будет доступен Azure AD субъектам в политике RBAC разрешенного типа Microsoft Purview, если область такой политики — подписка, группа ресурсов или учетная запись хранения.

Ограничения

• Ограничение для политик Microsoft Purview, которые могут применяться учетными записями хранения, составляет 100 МБ на подписку, что примерно равно 5000 политикам.

Известные проблемы

Известные проблемы , связанные с созданием политики

• Не создавайте инструкции политики на основе наборов ресурсов Microsoft Purview. Даже если они отображаются в пользовательском интерфейсе разработки политик Microsoft Purview, они еще не применяются. Дополнительные сведения о наборах ресурсов.

Сопоставление действий политики

Этот раздел содержит ссылку на то, как действия в политиках данных Microsoft Purview сопоставляют с конкретными действиями в службе хранилища Azure.

Действие политики Microsoft Purview	Действия, относящиеся к источнику данных
Read	Microsoft.Storage/storageAccounts/blobServices/containers/read
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Modify	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
	Microsoft.Storage/storageAccounts/blobServices/containers/read
	Microsoft.Storage/storageAccounts/blobServices/containers/write
	Microsoft.Storage/storageAccounts/blobServices/containers/delete

Дальнейшие действия

Ознакомьтесь с блогами, демонстрациями и связанными руководствами:

• Демонстрация политики доступа для службы хранилища Azure
• Документация. Основные понятия для политик владельца данных Microsoft Purview
• Документация . Подготовка доступа ко всем источникам данных в подписке или группе ресурсов
• Блог : Новые возможности Microsoft Purview на microsoft Ignite 2021
• Блог: Доступ к данным при предоставлении разрешения на уровне папки
• Блог: Доступ к данным при предоставлении разрешения на уровне файла
• Блог. Предоставление пользователям доступа к ресурсам данных на предприятии с помощью API