Åtkomstkontroll i Azure Purview
Azure Purview använder samlingar för att organisera och hantera åtkomst mellan dess källor, tillgångar och andra artefakter. I den här artikeln beskrivs samlingar och åtkomsthantering i ditt Azure Purview-konto.
Samlingar
En samling är ett verktyg som Azure Purview använder för att gruppera tillgångar, källor och andra artefakter i en hierarki för att identifiera och hantera åtkomstkontroll. All åtkomst till Purviews resurser hanteras från samlingar i själva Purview-kontot.
Anteckning
Från och med 8 november 2021 är Insights tillgänglig för datamanaatorer. Dataläsare har inte åtkomst till Insights.
Roller
Azure Purview använder en uppsättning fördefinierade roller för att styra vem som har åtkomst till vad i kontot. Dessa roller är för närvarande:
- Samlingsadministratörer – en roll för användare som behöver tilldela roller till andra användare i Azure Purview eller hantera samlingar. Samlingsadministratörer kan lägga till användare i roller i samlingar där de är administratörer. De kan också redigera samlingar, deras information och lägga till undersamlingar.
- Datadesigner – en roll som ger åtkomst till datakatalogen för att hantera tillgångar, konfigurera anpassade klassificeringar, konfigurera ordlista och visa insikter. Datacuratorer kan skapa, läsa, ändra, flytta och ta bort tillgångar. De kan också använda anteckningar för tillgångar.
- Dataläsare – en roll som ger skrivskyddad åtkomst till datatillgångar, klassificeringar, klassificeringsregler, samlingar och ordlista.
- Datakällsadministratörer – en roll som gör att en användare kan hantera datakällor och genomsökningar. Om en användare endast beviljas rollen som datakällaadministratör på en viss datakälla kan de köra nya genomsökningar med hjälp av en befintlig genomsökningsregel. Om du vill skapa nya genomsökningsregler måste användaren också beviljas antingen rollen Dataläsare eller Dataintendent.
Vem ska tilldelas till vilken roll?
| Användarscenario | Lämpliga roller |
|---|---|
| Jag behöver bara hitta tillgångar, jag vill inte redigera något | Dataläsare |
| Jag behöver redigera information om tillgångar, tilldela klassificeringar, associera dem med ordlisteposter och så vidare. | Data-intendent |
| Jag behöver redigera ordlistan eller konfigurera nya klassificeringsdefinitioner | Data-intendent |
| Jag behöver visa Insights för att förstå styrningsstatusen för min datae egendom | Data-intendent |
| Tjänstens huvudnamn för mitt program måste skicka data till Azure Purview | Data-intendent |
| Jag behöver konfigurera genomsökningar via Purview Studio | Dataintendent på samlingen eller dataintendent och datakällsadministratör där källan är registrerad |
| Jag måste aktivera tjänstens huvudnamn eller grupp för att konfigurera och övervaka genomsökningar i Azure Purview utan att ge dem åtkomst till katalogens information | Datakällsadministratör |
| Jag behöver placera användare i roller i Azure Purview | Samlingsadministratör |
Förstå hur du använder Azure Purviews roller och samlingar
All åtkomstkontroll hanteras i Purviews samlingar. Purviews samlingar finns i Purview Studio. Öppna ditt Purview-konto i Azure Portal och välj panelen Purview Studio på sidan Översikt. Därifrån navigerar du till datakartan på den vänstra menyn och väljer sedan fliken Samlingar.
När ett Azure Purview-konto skapas börjar det med en rotsamling som har samma namn som själva Purview-kontot. Skaparen av Purview-kontot läggs automatiskt till som samlingsadministratör, datakällsadministratör, dataöversikt och dataläsare i den här rotsamlingen och kan redigera och hantera den här samlingen.
Källor, tillgångar och objekt kan läggas till direkt i den här rotsamlingen, men det kan även andra samlingar. Genom att lägga till samlingar får du mer kontroll över vem som har åtkomst till data i ditt Purview-konto.
Alla andra användare kan bara komma åt information i Azure Purview-kontot om de, eller en grupp som de finns i, får någon av ovanstående roller. Det innebär att när du skapar ett Azure Purview-konto kan ingen förutom skaparen komma åt eller använda dess API:er tills de läggs till i en eller flera av ovanstående roller i en samling.
Användare kan bara läggas till i en samling av en samlingsadministratör eller genom arv av behörigheter. Behörigheterna för en överordnad samling ärvs automatiskt av dess undersamlingar. Du kan dock välja att begränsa arv av behörigheter för alla samlingar. Om du gör detta kommer dess undersamlingar inte längre ärva behörigheter från den överordnade samlingen och måste läggas till direkt, även om samlingsadministratörer som ärvs automatiskt från en överordnad samling inte kan tas bort.
Du kan tilldela Purview-roller till användare, säkerhetsgrupper och tjänstens huvudnamn från din Azure Active Directory som är associerad med prenumerationen för ditt vykonto.
Tilldela behörigheter till dina användare
När du har skapat ett Azure Purview-konto är det första du gör att skapa samlingar och tilldela användare roller i dessa samlingar.
Anteckning
Om du har skapat ditt Azure Purview-konto med hjälp av ett huvudnamn för tjänsten måste du bevilja en användarsamling administratörsbehörighet för rotsamlingen för att kunna komma åt Purview Studio och tilldela behörigheter till användare. Du kan använda det här Azure CLI-kommandot:
az purview account add-root-collection-admin --account-name --resource-group [--object-id]
Skapa samlingar
Samlingar kan anpassas efter strukturen för källorna i ditt Purview-konto och kan fungera som organiserade lagringsplatser för dessa resurser. När du funderar på de samlingar som du kan behöva bör du överväga hur användarna kommer åt eller upptäcker information. Är dina källor uppdelade efter avdelningar? Finns det specialiserade grupper inom dessa avdelningar som bara behöver identifiera vissa tillgångar? Finns det några källor som bör kunna upptäckas av alla dina användare?
Detta informerar de samlingar och delsamlingar som du kan behöva för att organisera datakartan så effektivt som möjligt.
Nya samlingar kan läggas till direkt i datakartan där du kan välja deras överordnade samling från en listrutan, eller så kan de läggas till från den överordnade samlingen som en undersamling. I datakartvyn kan du se alla dina källor och tillgångar sorterade efter samlingarna, och i listan visas källans samling.
Om du vill ha mer information kan du följa vår guide för att skapa och hantera samlingar.
Ett samlingsexempel
Nu när vi har en grundläggande förståelse för samlingar, behörigheter och hur de fungerar ska vi titta på ett exempel.
Det här är ett sätt som en organisation kan strukturera sina data på: Från och med rotsamlingen (Contoso, i det här exemplet) ordnas samlingar i regioner och sedan i avdelningar och underdelar. Datakällor och tillgångar kan läggas till i vilken som helst av dessa samlingar för att organisera dataresurser efter dessa regioner och avdelningar och hantera åtkomstkontroll längs dessa rader. Det finns en underdel, Revenue, som har strikta åtkomstriktlinjer, så behörigheterna måste hanteras nära.
Dataläsarrollen kan komma åt information i katalogen, men inte hantera eller redigera den. Så i vårt exempel ovan ger tillägg av behörigheten Dataläsare till en grupp i rotsamlingen och tillåter arv alla användare i den gruppen läsbehörighet för Purview-källor och tillgångar. Det gör att alla i gruppen kan identifiera, men inte redigera, dessa resurser. Att begränsa arv i intäktsgruppen styr åtkomsten till dessa tillgångar. Användare som behöver åtkomst till intäktsinformation kan läggas till separat i intäktssamlingen. På samma sätt som med rollerna Data intendent och datakällsadministratör börjar behörigheterna för dessa grupper vid den samling där de tilldelas och kluserar till undersamlingar som inte har begränsat arv. Nedan har vi tilldelat behörigheter för flera grupper på samlingsnivåer i undersamlingen Americas.
Lägga till användare i roller
Rolltilldelningen hanteras via samlingarna. Endast en användare med rollen som samlingsadministratör kan bevilja behörigheter till andra användare i samlingen. När nya behörigheter behöver läggas till får en samlingsadministratör åtkomst till Purview Studio,navigerar till datakartan och sedan fliken Samlingar och väljer den samling där en användare måste läggas till. På fliken Rolltilldelningar kan de lägga till och hantera användare som behöver behörigheter.
Fullständiga anvisningar finns i vår instruktionsguide för att lägga till rolltilldelningar.
Nästa steg
Nu när du har en grundläggande förståelse för samlingar och åtkomstkontroll kan du följa guiderna nedan för att skapa och hantera samlingarna, eller komma igång med att registrera källor i din Purview-resurs.