Självstudie: Kontrollera datakällans beredskap i stor skala

  • Artikel
  • 7 minuter för att läsa

För att genomsöka datakällor kräver Azure Purview åtkomst till dem. Den använder autentiseringsuppgifter för att få den här åtkomsten. Autentiseringsuppgifter är den autentiseringsinformation som Azure Purview kan använda för att autentisera till dina registrerade datakällor. Det finns några sätt att konfigurera autentiseringsuppgifterna för Azure Purview, bland annat:

  • Den hanterade identiteten som tilldelats till Azure Purview-kontot.
  • Hemligheter som lagras i Azure Key Vault.
  • Tjänstens huvudnamn.

I den här självstudieserien i två delar hjälper vi dig att verifiera och konfigurera nödvändiga Azure-rolltilldelningar och nätverksåtkomst för olika Azure-datakällor i dina Azure-prenumerationer i stor skala. Du kan sedan registrera och genomsöka dina Azure-datakällor i Azure Purview.

Kör checklistaskriptet för Azure Purview-datakällors beredskap när du har distribuerat ditt Azure Purview-konto och innan du registrerar och genomsöker dina Azure-datakällor.

I del 1 av den här självstudieserien kommer du att:

  • Leta upp dina datakällor och förbered en lista över prenumerationer på datakällor.
  • Kör skriptet för beredskapschecklistan för att hitta eventuella saknade rollbaserade åtkomstkontroller (RBAC) eller nätverkskonfigurationer i dina datakällor i Azure.
  • I utdatarapporten granskar du saknade nätverkskonfigurationer och rolltilldelningar som krävs av Azure Purview Managed Identity (MSI).
  • Dela rapporten med azure-prenumerationsägare för data så att de kan vidta föreslagna åtgärder.

Förutsättningar

Anteckning

Checklistan för Azure Purview-beredskap för datakällor är endast tillgänglig för Windows. Det här checklistaskriptet för beredskap stöds för närvarande för Azure Purview MSI.

Förbereda Azure-prenumerationslistan för datakällor

Innan du kör skriptet skapar du en .csv -fil (till exempel C:\temp\Subscriptions.csv) med fyra kolumner:

Kolumnnamn Description Exempel
SubscriptionId Azure-prenumerations-ID:er för dina datakällor. 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName Namnet på det befintliga nyckelvalv som distribueras i datakällsprenumerationen. ContosoDevKeyVault
SecretNameSQLUserName Namnet på en befintlig Azure Key Vault-hemlighet som innehåller ett Azure Active Directory-användarnamn (Azure AD) som kan logga in på Azure Synapse, Azure SQL Database eller Azure SQL Managed Instance med hjälp av Azure AD-autentisering. ContosoDevSQLAdmin
SecretNameSQLPassword Namnet på en befintlig Azure Key Vault hemlighet som innehåller ett Azure AD-användarlösenord som kan logga in på Azure Synapse, Azure SQL Database eller Azure SQL Managed Instance med hjälp av Azure AD-autentisering. ContosoDevSQLPassword

Exempelfil .csv fil:

Skärmbild som visar en exempelprenumerationslista.

Anteckning

Du kan uppdatera filnamnet och sökvägen i koden om det behövs.

Kör skriptet och installera de PowerShell-moduler som krävs

Följ de här stegen för att köra skriptet Windows datorn:

  1. Ladda ned checklistaskriptet för Azure Purview-datakällors beredskap till valfri plats.

  2. På datorn anger du PowerShell i sökrutan i Windows aktivitetsfältet. I söklistan väljer du och håller ned (eller högerklickar) Windows PowerShell väljer sedan Kör som administratör.

  3. Ange följande kommando i PowerShell-fönstret. (Ersätt <path-to-script> med mappsökvägen för den extraherade skriptfilen.)

    dir -Path <path-to-script> | Unblock-File

  4. Installera Azure-cmdletarna genom att ange följande kommando:

    Install-Module -Name Az -AllowClobber -Scope CurrentUser

  5. Om du ser uppmaningen NuGet-providern krävs för att fortsätta anger du Y och väljer sedan Retur.

  6. Om du ser frågan Ej betrodd lagringsplats anger du A och väljer sedan Retur.

  7. Upprepa föregående steg för att installera Az.Synapse AzureAD modulerna och .

Det kan ta upp till en minut för PowerShell att installera de moduler som krävs.

Samla in andra data som behövs för att köra skriptet

Innan du kör PowerShell-skriptet för att verifiera att datakällsprenumerationer är redo hämtar du värdena för följande argument som ska användas i skripten:

  • AzureDataType: Välj något av följande alternativ som typ av datakälla för att kontrollera om datatypen är redo för alla dina prenumerationer:

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: Ditt befintliga resursnamn för Azure Purview-kontot.

  • PurviewSub: Prenumerations-ID där Azure Purview-kontot distribueras.

Verifiera dina behörigheter

Kontrollera att användaren har följande roller och behörigheter:

Roll eller behörighet Omfång
Global läsare Azure AD-klientorganisation
Läsare Azure-prenumerationer där dina Azure-datakällor finns
Läsare Prenumeration där ditt Azure Purview-konto skapades
SQL (Azure AD-autentisering) Azure Synapse dedikerade pooler, Azure SQL Database instanser, Azure SQL hanterade instanser
Åtkomst till ditt Azure-nyckelvalv Åtkomst för att hämta/lista key vault-hemligheten eller Azure Key Vault hemlig användare

Kör beredskapsskriptet på klientsidan

Kör skriptet genom att utföra följande steg:

  1. Använd följande kommando för att gå till skriptets mapp. Ersätt <path-to-script> med mappsökvägen för den extraherade filen.

    cd <path-to-script>

  2. Kör följande kommando för att ange körningsprincipen för den lokala datorn. Ange A för Ja till alla när du uppmanas att ändra körningsprincipen.

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted

  3. Kör skriptet med följande parametrar. Ersätt DataType PurviewName platshållarna , SubscriptionID och .

    .\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>

    När du kör kommandot kan ett popup-fönster visas två gånger där du uppmanas att logga in på Azure och Azure AD med dina Azure Active Directory autentiseringsuppgifter.

Det kan ta flera minuter att skapa rapporten, beroende på antalet Azure-prenumerationer och resurser i miljön.

När processen är klar granskar du utdatarapporten, som visar de konfigurationer som har identifierats som saknas i dina Azure-prenumerationer eller -resurser. Resultatet kan visas som Passed (Godkänt), Not Passed (Skickades inte) eller Awareness (Medvetenhet). Du kan dela resultaten med motsvarande prenumerationsadministratörer i din organisation så att de kan konfigurera de inställningar som krävs.

Mer information

Vilka datakällor stöds av skriptet?

För närvarande stöds följande datakällor av skriptet:

  • Azure Blob Storage (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL Database (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • Azure Synapse (Synapse) dedikerad pool

Du kan välja alla eller någon av dessa datakällor som indataparameter när du kör skriptet.

Vilka kontroller ingår i resultaten?

Azure Blob Storage (BlobStorage)

  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Storage Blob Data Reader i var och en av prenumerationerna under det valda omfånget.
  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Läsare för det valda omfånget.
  • Tjänstslutpunkt. Kontrollera om tjänstslutpunkten är aktiverad och kontrollera om Tillåt betrodda Microsoft-tjänster åtkomst till det här lagringskontot är aktiverat.
  • Nätverk: Kontrollera om den privata slutpunkten har skapats för lagring och aktiverats för Blob Storage.

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Storage Blob Data Reader i var och en av prenumerationerna under det valda omfånget.
  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Läsare för det valda omfånget.
  • Tjänstslutpunkt. Kontrollera om tjänstslutpunkten är aktiverad och kontrollera om Tillåt betrodda Microsoft-tjänster åtkomst till det här lagringskontot är aktiverat.
  • Nätverk: Kontrollera om den privata slutpunkten har skapats för lagring och aktiverats för Blob Storage.

Azure Data Lake Storage Gen1 (ADLSGen1)

  • Nätverk. Kontrollera om tjänstslutpunkten är aktiverad och kontrollera om Tillåt att alla Azure-tjänster får åtkomst till det här Data Lake Storage Gen1-kontot är aktiverat.
  • Behörigheter. Kontrollera om Azure Purview MSI har läs-/körbehörigheter.

Azure SQL Database (AzureSQLDB)

  • SQL Server instanser:

    • Nätverk. Kontrollera om offentlig slutpunkt eller privat slutpunkt är aktiverad.
    • Brandvägg. Kontrollera om Tillåt Azure-tjänster och resurser att komma åt den här servern är aktiverat.
    • Azure AD-administration. Kontrollera om Azure SQL Server har Azure AD-autentisering.
    • Azure AD-administration. Fyll i Azure SQL Server Azure AD-administratörsanvändare eller -grupp.

  • SQL databaser:

    • SQL roll. Kontrollera om Azure Purview MSI har tilldelats db_datareader rollen.

Azure SQL Managed Instance (AzureSQLMI)

  • SQL Hanterade instansservrar:

    • Nätverk. Kontrollera om offentlig slutpunkt eller privat slutpunkt är aktiverad.
    • Proxyoverride. Kontrollera om Azure SQL Managed Instance har konfigurerats som proxy eller omdirigering.
    • Nätverk. Kontrollera om NSG har en regel för inkommande trafik som tillåter AzureCloud via nödvändiga portar:
      • Omdirigering: 1433 och 11000-11999
        eller
      • Proxy: 3342
    • Azure AD-administration. Kontrollera om Azure SQL Server har Azure AD-autentisering.
    • Azure AD-administration. Fyll i Azure SQL Server Azure AD-administratörsanvändare eller -grupp.

  • SQL databaser:

    • SQL roll. Kontrollera om Azure Purview MSI har tilldelats db_datareader rollen.

Azure Synapse (Synapse) dedikerad pool

  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Storage Blob Data Reader i var och en av prenumerationerna under det valda omfånget.

  • RBAC. Kontrollera om Azure Purview MSI har tilldelats rollen Läsare för det valda omfånget.

  • SQL Server instanser (dedikerade pooler):

    • Nätverk: Kontrollera om offentlig slutpunkt eller privat slutpunkt är aktiverad.
    • Brandvägg: Kontrollera om Tillåt Azure-tjänster och resurser att komma åt den här servern är aktiverat.
    • Azure AD-administration: Kontrollera om Azure SQL Server har Azure AD-autentisering.
    • Azure AD-administration: Fyll i Azure SQL Server Azure AD-administratörsanvändare eller -grupp.

  • SQL databaser:

    • SQL roll. Kontrollera om Azure Purview MSI har tilldelats db_datareader rollen.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Kör checklistan för Azure Purview-beredskap för att i stor skala kontrollera om dina Azure-prenumerationer saknar konfiguration, innan du registrerar och genomsöker dem i Azure Purview.

Gå till nästa självstudie för att lära dig hur du identifierar nödvändig åtkomst och ställer in nödvändiga autentiserings- och nätverksregler för Azure Purview över Azure-datakällor:

Konfigurera åtkomst till datakällor för Azure Purview MSI i stor skala