Öğretici: veri kaynağı hazırlığını ölçeğe göre denetle
Azure purview veri kaynaklarını taramak için onlara erişim gerektirir. Bu erişimi almak için kimlik bilgilerini kullanır. Kimlik bilgileri , Azure purview 'ın kayıtlı veri kaynaklarınızda kimlik doğrulamak için kullanabileceği kimlik doğrulama bilgileridir. Azure purview için kimlik bilgilerini kurmanın birkaç yolu vardır; örneğin:
- Azure purview hesabına atanan yönetilen kimlik.
- Azure Key Vault depolanan gizlilikler.
- Hizmet sorumluları.
Bu iki bölümden oluşan öğretici serisinde, Azure aboneliklerinizde bulunan çeşitli Azure veri kaynakları için gerekli Azure rol atamalarını ve ağ erişimini doğrulamanıza ve yapılandırmanıza yardımcı olacak. Daha sonra Azure veri kaynaklarınızı Azure purview ' de kaydedebilir ve taratabilirsiniz.
Azure purview hesabınızı dağıttıktan sonra ve Azure veri kaynaklarınızı kaydetmeden ve taramadan önce Azure purview veri kaynakları hazırlığı denetim listesi betiğini çalıştırın.
Bu öğretici serisinin 1. bölümünde şunları yapabilirsiniz:
- Veri kaynaklarınızı bulun ve veri kaynağı aboneliklerinin bir listesini hazırlayın.
- Azure 'daki veri kaynaklarınızda eksik rol tabanlı erişim denetimi (RBAC) veya ağ yapılandırması bulmak için hazırlık denetim listesi betiğini çalıştırın.
- Çıkış raporunda, Azure purview yönetilen kimliği (MSI) için gerekli olan ağ yapılandırmalarının ve rol atamalarının gözden geçirilmesini inceleyin.
- Raporu, önerilen eylemleri üstleyebilmeleri için veri Azure abonelik sahipleriyle paylaşabilirsiniz.
Önkoşullar
- Veri kaynaklarınızın bulunduğu Azure abonelikleri. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
- Azure purview hesabı.
- her abonelikteki, Azure SQL Veritabanı, azure Synapse Analytics veya azure SQL yönetilen örneği gibi veri kaynaklarına sahip Azure Key Vault bir kaynaktır.
- Azure purview veri kaynakları hazırlık denetim listesi betiği.
Not
Azure purview veri kaynakları hazırlık denetim listesi yalnızca Windows için kullanılabilir. Bu hazırlık listesi betiği Şu anda Azure purview MSI için destekleniyor.
Veri kaynakları için Azure abonelikleri listesini hazırlama
Betiği çalıştırmadan önce dört sütunlu bir .csv dosyası (örneğin, C:\temp\Subscriptions.csv) oluşturun:
| Sütun adı | Description | Örnek |
|---|---|---|
SubscriptionId |
Veri kaynaklarınızın Azure abonelik kimlikleri. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Veri kaynağı aboneliğinde dağıtılan mevcut anahtar kasasının adı. | Contosodevkeykasası |
SecretNameSQLUserName |
azure ad kimlik doğrulamasını kullanarak azure Synapse, Azure SQL Veritabanı veya azure SQL yönetilen örneği 'nde oturum açmaya yönelik bir Azure Active Directory (azure AD) kullanıcı adı içeren mevcut bir Azure Key Vault parolasının adı. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
azure ad kimlik doğrulamasını kullanarak azure Synapse, Azure SQL Veritabanı veya azure SQL yönetilen örneği 'nde oturum açmaya yönelik bir azure ad kullanıcı parolası içeren mevcut bir Azure Key Vault gizliliğinin adı. | ContosoDevSQLPassword |
Örnek .csv dosyası:
Not
Gerekirse, koddaki dosya adını ve yolunu güncelleştirebilirsiniz.
Betiği çalıştırın ve gerekli PowerShell modüllerini yükler
Windows bilgisayarınızdan betiği çalıştırmak için aşağıdaki adımları izleyin:
Azure purview veri kaynakları hazırlığı denetim listesi betiğini Istediğiniz konuma indirin.
bilgisayarınızda, Windows görev çubuğundaki arama kutusuna PowerShell yazın. arama listesinde, Windows PowerShell seçin ve tutun (veya sağ tıklayın) ve ardından yönetici olarak çalıştır' ı seçin.
PowerShell penceresinde, aşağıdaki komutu girin. (
<path-to-script>Ayıklanan betik dosyasının klasör yoluyla değiştirin.)dir -Path <path-to-script> | Unblock-FileAzure cmdlet 'lerini yüklemek için aşağıdaki komutu girin:
Install-Module -Name Az -AllowClobber -Scope CurrentUseristem için NuGet sağlayıcının devam etmesi gerektiğini görürseniz, Y girin ve ardından enter' u seçin.
İstem Güvenilmeyen depoyu görürseniz, bir girin ve ardından ENTER' u seçin.
Ve modüllerini yüklemek için önceki adımları tekrarlayın
Az.SynapseAzureAD.
PowerShell 'in gerekli modülleri yüklemesi bir dakika kadar sürebilir.
Betiği çalıştırmak için gereken diğer verileri toplayın
Veri kaynağı aboneliklerinin hazır olduğunu doğrulamak üzere PowerShell betiğini çalıştırmadan önce betiklerde kullanmak için aşağıdaki bağımsız değişkenlerin değerlerini alın:
AzureDataType: Aboneliklerinizde veri türünün hazır olup olmadığını denetlemek için veri kaynağı türü olarak aşağıdaki seçeneklerden herhangi birini seçin:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: Mevcut Azure purview hesabı kaynak adı.PurviewSub: Azure purview hesabının dağıtıldığı abonelik KIMLIĞI.
İzinlerinizi doğrulama
Kullanıcılarınızın aşağıdaki rollere ve izinlere sahip olduğundan emin olun:
| Rol veya izin | Kapsam |
|---|---|
| Genel okuyucu | Azure AD kiracısı |
| Okuyucu | Azure veri kaynaklarınızın bulunduğu Azure abonelikleri |
| Okuyucu | Azure purview hesabınızın oluşturulduğu abonelik |
| SQL yöneticisi (Azure AD kimlik doğrulaması) | azure Synapse adanmış havuzlar, Azure SQL Veritabanı örnekleri, azure SQL yönetilen örnekler |
| Azure anahtar kasanıza erişim | Anahtar kasasının gizli anahtarını veya Azure Key Vault gizli kullanıcısını al/Listele erişimi |
İstemci tarafı hazırlık betiğini çalıştırma
Şu adımları tamamlayarak betiği çalıştırın:
Komut dosyasının klasörüne gitmek için aşağıdaki komutu kullanın.
<path-to-script>Ayıklanan dosyanın klasör yoluyla değiştirin.cd <path-to-script>Yerel bilgisayarın Yürütme ilkesini ayarlamak için aşağıdaki komutu çalıştırın. Yürütme ilkesini değiştirmeniz istendiğinde, Tümüne Evet için bir girin.
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedBetiği aşağıdaki parametrelerle çalıştırın.
DataType,PurviewNameVeSubscriptionIDyer tutucularını değiştirin..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>komutu çalıştırdığınızda, Azure Active Directory kimlik bilgilerinizi kullanarak azure 'da ve azure AD 'de oturum açmanızı isteyerek bir açılır pencere görünür.
Ortamdaki Azure aboneliklerinin ve kaynaklarının sayısına bağlı olarak, raporun oluşturulması birkaç dakika sürebilir.
İşlem tamamlandıktan sonra, Azure aboneliklerinizde veya kaynaklarda algılanan eksik konfigürasyonları gösteren çıkış raporunu gözden geçirin. Sonuçlar geçti, geçti veya tanıma olarak görünebilir. Gerekli ayarları yapılandırabilmek için, sonuçları kuruluşunuzdaki ilgili abonelik yöneticileri ile paylaşabilirsiniz.
Daha fazla bilgi
Betiğe hangi veri kaynakları destekleniyor?
Şu anda aşağıdaki veri kaynakları betik tarafından destekleniyor:
- Azure Blob Depolama (blobstorage)
- Azure Data Lake Storage 2. (ADLSGen2)
- Azure Data Lake Storage 1. (ADLSGen1)
- Azure SQL Veritabanı (azuressqldb)
- Azure SQL yönetilen örneği (azuressınmı)
- Azure Synapse (SYNAPSE) adanmış havuz
Betiği çalıştırdığınızda giriş parametresi olarak bu veri kaynaklarından tümünü veya herhangi birini seçebilirsiniz.
Sonuçlara hangi denetimler dahildir?
Azure Blob Depolama (blobstorage)
- RBAC. Azure purview MSI 'nin seçili kapsamın altındaki her bir aboneliğin Depolama Blob veri okuyucusu rolüne atanıp atanmadığını denetleyin.
- RBAC. Seçilen kapsamda Azure Purview MSI'ye Okuyucu rolü atanıp atanmadığı kontrol edin.
- Hizmet uç noktası. Hizmet uç noktasının açık olup olmadığını ve Bu depolama hesabına erişmek için Microsoft hizmetleri izin ver'in etkin olup olmadığını kontrol edin.
- Ağ: Depolama için özel uç noktanın oluşturulıp oluşturulmamış ve Blob depolama için Depolama.
Azure Data Lake Depolama 2. Nesil (ADLSGen2)
- RBAC. Seçilen kapsamın altındaki aboneliklerin her biri için Azure Purview MSI'Depolama Blob Veri Okuyucusu rolü atanıp atanmadığı kontrol edin.
- RBAC. Seçilen kapsamda Azure Purview MSI'ye Okuyucu rolü atanıp atanmadığı kontrol edin.
- Hizmet uç noktası. Hizmet uç noktasının açık olup olmadığını ve Bu depolama hesabına erişmek için Microsoft hizmetleri izin ver'in etkin olup olmadığını kontrol edin.
- Ağ: Depolama için özel uç noktanın oluşturulıp oluşturulmamış ve Blob depolama için Depolama.
Azure Data Lake Depolama 1. Nesil (ADLSGen1)
- Ağ. Hizmet uç noktasının açık olup olmadığını kontrol edin ve Tüm Azure hizmetlerinin Bu Data Lake'e erişmesine izin ver Depolama 1. Nesil hesabının etkin olup olmadığını kontrol edin.
- Izin. Azure Purview MSI'nin Okuma/Yürütme izinlerine sahip olup olmadığını denetleyin.
Azure SQL Veritabanı (AzureSQLDB)
SQL Server örnekleri:
- Ağ. Genel uç noktanın mı yoksa özel uç noktanın mı etkin olduğunu kontrol edin.
- Güvenlik duvarı. Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver'in etkin olup olmadığını kontrol edin.
- Azure AD yönetimi. Azure SQL Server Azure AD kimlik doğrulaması olup olmadığını kontrol edin.
- Azure AD yönetimi. Azure AD SQL Server kullanıcı veya grubunu doldurmak.
SQL veritabanları:
- SQL rolü. Azure Purview MSI'ye db_datareader.
Azure SQL Yönetilen Örneği (AzureSQLMI)
SQL Yönetilen Örnek sunucuları:
- Ağ. Genel uç noktanın mı yoksa özel uç noktanın mı etkin olduğunu kontrol edin.
- ProxyOverride. Azure SQL Yönetilen Örneği'nin Ara Sunucu veya Yeniden Yönlendirme olarak yapılandırıp yapılandırılmamış olduğunu kontrol edin.
- Ağ. NSG'nin gerekli bağlantı noktaları üzerinden AzureCloud'a izin verecek bir gelen kuralı olup olmadığını kontrol edin:
- Yeniden yönlendirme: 1433 ve 11000-11999
veya - Ara Sunucu: 3342
- Yeniden yönlendirme: 1433 ve 11000-11999
- Azure AD yönetimi. Azure SQL Server Azure AD kimlik doğrulaması olup olmadığını kontrol edin.
- Azure AD yönetimi. Azure AD SQL Server kullanıcı veya grubunu doldurmak.
SQL veritabanları:
- SQL rolü. Azure Purview MSI'ye db_datareader.
Azure Synapse (Synapse) ayrılmış havuzu
RBAC. Seçilen kapsamın altındaki aboneliklerin her biri için Azure Purview MSI'Depolama Blob Veri Okuyucusu rolü atanıp atanmadığı kontrol edin.
RBAC. Seçilen kapsamda Azure Purview MSI'ye Okuyucu rolü atanıp atanmadığı kontrol edin.
SQL Server örnekleri (ayrılmış havuzlar):
- Ağ: Genel uç noktanın mı yoksa özel uç noktanın mı etkin olduğunu kontrol edin.
- Güvenlik duvarı: Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver'in etkin olup olmadığını kontrol edin.
- Azure AD yönetimi: Azure SQL Server Azure AD kimlik doğrulaması olup olmadığını kontrol edin.
- Azure AD yönetimi: Azure AD SQL Server kullanıcı veya grubunu doldurmak.
SQL veritabanları:
- SQL rolü. Azure Purview MSI'ye db_datareader.
Sonraki adımlar
Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:
- Azure Purview'a kaydolmadan ve taramadan önce Azure aboneliklerinizi yapılandırmanın eksik olup olmadığını büyük ölçekte kontrol etmek için Azure Purview hazır olma denetim listesini çalıştırın.
Azure veri kaynakları arasında Azure Purview için gerekli erişimi tanımlamayı ve gerekli kimlik doğrulamasını ve ağ kurallarını ayarlamayı öğrenmek için sonraki öğreticiye gidin: