Microsoft Purview 資料擁有者原則的概念 (預覽)

  • 發行項

重要事項

此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。

本文討論從 Microsoft Purview 治理入口網站管理資料資產中資產讀取或修改存取權的相關概念。

注意事項

這項功能不會為 Microsoft Purview 本身提供存取控制。 Microsoft Purview 中的存取控制會說明授與 Microsoft Purview 內部角色的存取權。 這項功能可用來授與資料平面存取權,也就是在 Azure 儲存體等資料系統中授與資料本身的存取權。 它不允許您授與控制平面存取權。 控制平面存取提供可視性和能力來管理訂用帳戶中的資源。 您可以透過身分識別和存取管理 (IAM) 來管理控制平面存取

概觀

Microsoft Purview 中的存取原則可讓您管理整個資料資產中不同資料系統的存取權。 例如:

使用者需要已在 Microsoft Purview 中註冊之 Azure 儲存體帳戶的讀取權限。 您可以透過 Microsoft Purview 治理入口網站中的資料 原則應用程式建立 資料存取原則,直接在 Microsoft Purview 中授與此存取權。

資料擁有者原則只能在 Microsoft Purview 中啟用原則強制執行的資料系統上強制執行,也就是在資料來源註冊中開啟 [原則 強制執行 ] 選項。

概念

資料擁有者原則

資料擁有者原則是一組具名的原則語句。 當原則發佈至 Microsoft Purview 控管下的一或多個資料系統時,系統會強制執行該原則。 原則定義包含原則名稱、描述,以及一或多個原則語句的清單。

原則語句

原則 語句 是人類可讀取的指示,會指示資料來源應如何處理特定的資料存取作業。 原則語句包含 EffectAction、Data ResourceSubject

動作

動作是此原則中允許或拒絕的作業。 例如:讀取或修改。 這些高階邏輯動作會對應至資料系統中強制執行 (或多個) 資料動作。

Effect

如果原則語句的資料資源和主旨有相符專案,效果會指出結果。 目前唯一支援的值是 Allow

資料資源

資料資源是原則語句所套用物件的完整資料資產路徑。 其符合下列格式:

/subscription/ < subscription-id > /resourcegroups/ < resource-group-name > /providers/ < provider-name > / < data-asset-path>

Azure 儲存體資料資產路徑格式:

Microsoft.Storage/storageAccounts/ < account-name > /blobservice/default/containers/ < container-name>

Azure SQL資料庫資料資產路徑格式:

Microsoft.Sql/servers/ < server-name>

主旨

這是 Azure Active Directory 中適用此原則聲明的使用者身分識別清單。 每個身分識別都可以是服務主體、個別使用者、群組或受控服務識別 (MSI) 。

範例

允許讀取資料資產: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData 至 Finance-analyst 群組

在上述原則語句中,效果為 Allow、動作為 Read、資料資源為 Azure 儲存體容器 FinData,而主旨為 Azure Active Directory 群組 Finance-analyst。 如果屬於此群組的任何使用者嘗試從儲存體容器 FinData讀取資料,則會允許要求。

原則的階層式強制執行

原則語句中指定的資料資源預設為階層式。 這表示原則語句會套用至資料物件本身,以及資料物件所包含 的所有 子物件。 例如,Azure 儲存體容器上的原則語句會套用至其中包含的所有 Blob。

原則結合演算法

資料來源會結合所有適用的本機原則與 Microsoft Purview 中的所有原則,並在使用者嘗試存取資產時提供合併決策。 結合策略會挑選限制最嚴格的原則。

例如,假設 Azure 儲存體容器 FinData 上有兩個不同的原則,如下所示:

原則 1 - 允許讀取資料資產 /subscription/..../containers/FinData 以將財務分析師分組

原則 2 - 拒絕將資料資產 /subscription/..../containers/FinData 讀取給財務承包商群組

然後假設屬於兩個群組一部分的使用者 'user1': Finance-analystFinance-contractors,會對 Blob 讀取 API 執行呼叫。 由於這兩個原則都適用,因此 Azure 儲存體會選擇限制最嚴格的原則,也就是拒絕讀取。 因此,存取要求將會遭到拒絕。

原則發佈

新建立的原則存在於草稿模式狀態中,只顯示在 Microsoft Purview 中。 發佈動作會在指定的資料系統中起始原則的強制執行。 這是非同步動作,視資料來源類型而定,可能需要 5 分鐘到 2 小時才能生效。 如需詳細資訊,請參閱與每個資料來源類型相關的資料擁有者原則操作指南。

發行至資料來源的原則可能包含參考不同資料來源的原則語句。 因為套用原則的資料來源中不存在有問題的資產,所以會忽略這類參考。

後續步驟

請參閱指南,瞭解如何在 Microsoft Purview 中建立在特定資料系統中強制執行的原則。 除了 UI 之外,您現在可以試用資料擁有者原則 API。