Concepts pour les stratégies de propriétaire de données Microsoft Purview (préversion)
Importante
Cette fonctionnalité est actuellement en préversion. Les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Cet article décrit les concepts liés à la gestion de la lecture ou de la modification de l’accès aux ressources dans votre patrimoine de données à partir du portail de gouvernance Microsoft Purview.
Remarque
Cette fonctionnalité n’offre pas de contrôle d’accès pour Microsoft Purview lui-même. L’octroi de l’accès aux rôles internes Microsoft Purview est décrit dans Contrôle d’accès dans Microsoft Purview. Cette fonctionnalité est utilisée pour accorder l’accès au plan de données, c’est-à-dire l’accès aux données elles-mêmes dans des systèmes de données comme stockage Azure. Il ne vous permet pas d’accorder l’accès au plan de contrôle. L’accès au plan de contrôle offre une visibilité et une capacité de gestion des ressources dans votre abonnement. Vous pouvez gérer l’accès au plan de contrôle via la gestion des identités et des accès (IAM)
Vue d’ensemble
Les stratégies d’accès dans Microsoft Purview vous permettent de gérer l’accès à différents systèmes de données dans l’ensemble de votre patrimoine de données. Par exemple :
Un utilisateur a besoin d’un accès en lecture à un compte de stockage Azure qui a été inscrit dans Microsoft Purview. Vous pouvez accorder cet accès directement dans Microsoft Purview en créant une stratégie d’accès aux données via l’application Stratégie de données dans le portail de gouvernance Microsoft Purview.
Les stratégies de propriétaire des données ne peuvent être appliquées que sur les systèmes de données qui ont été activés pour l’application des stratégies dans Microsoft Purview, c’est-à-dire avec l’option Application de stratégie activée dans l’inscription de la source de données.
Concepts
Stratégie de propriétaire des données
Une stratégie de propriétaire de données est un ensemble nommé d’instructions de stratégie. Lorsqu’une stratégie est publiée sur un ou plusieurs systèmes de données sous la gouvernance de Microsoft Purview, elle est ensuite appliquée par ces derniers. Une définition de stratégie inclut un nom de stratégie, une description et une liste d’une ou plusieurs instructions de stratégie.
Instruction de stratégie
Une instruction de stratégie est une instruction lisible par l’homme qui dicte la façon dont la source de données doit gérer une opération d’accès aux données spécifique. L’instruction de stratégie comprend Effet, Action, Ressource de données et Objet.
Action
Une action est l’opération autorisée ou refusée dans le cadre de cette stratégie. Par exemple : Read ou Modify. Ces actions logiques de haut niveau sont mappées à une (ou plusieurs) actions de données dans le système de données où elles sont appliquées.
Effet
L’effet indique ce qui doit être le résultat s’il existe une correspondance entre la ressource de données et l’objet de l’instruction de stratégie. Actuellement, la seule valeur prise en charge est Autoriser.
Ressource de données
La ressource de données est le chemin d’accès complet de la ressource de données à l’objet que l’instruction de stratégie applique. Il est conforme au format suivant :
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Format de chemin d’accès des ressources de ressources de stockage Azure :
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
Azure SQL format data-asset-path de base de données :
Microsoft.Sql/servers/<server-name>
Sujet
Il s’agit d’une liste des identités des utilisateurs finaux d’Azure Active Directory pour lesquelles cette déclaration de stratégie est applicable. Chaque identité peut être un principal de service, un utilisateur individuel, un groupe ou une identité de service managé (MSI).
Exemple
Autoriser la lecture sur la ressource de données : /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData pour regrouper Finance-analyst
Dans l’instruction de stratégie ci-dessus, l’effet est Autoriser, l’action read, la ressource de données est le conteneur De stockage Azure FinData et l’objet est le groupe Azure Active Directory Finance-analyst. Si un utilisateur appartenant à ce groupe tente de lire des données à partir du conteneur de stockage FinData, la demande est autorisée.
Application hiérarchique des stratégies
La ressource de données spécifiée dans une instruction de stratégie est hiérarchique par défaut. Cela signifie que l’instruction de stratégie s’applique à l’objet de données lui-même et à tous les objets enfants contenus dans l’objet de données. Par exemple, une instruction de stratégie sur le conteneur Stockage Azure s’applique à tous les objets blob qu’il contient.
Algorithme de combinaison de stratégies
Une source de données combine toutes les stratégies locales applicables avec toutes les stratégies de Microsoft Purview et fournit une décision consolidée lorsqu’un utilisateur tente d’accéder à une ressource. La stratégie de combinaison choisit la stratégie la plus restrictive.
Par exemple, supposons que deux stratégies différentes sur un conteneur De stockage Azure FinData sont les suivantes :
Stratégie 1 - Autoriser la lecture sur la ressource de données /subscription/..../containers/FinData pour grouper Finance-analyst
Stratégie 2 - Refuser la lecture sur la ressource de données /subscription/..../containers/FinData pour groupe Finance-contractors
Supposons ensuite que l’utilisateur « user1 », qui fait partie de deux groupes : Finance-analyst et Finance-contractors, exécute un appel à l’API de lecture d’objets blob. Étant donné que les deux stratégies sont applicables, stockage Azure choisit la plus restrictive, à savoir Refuser la lecture. Par conséquent, la demande d’accès sera refusée.
Publication de stratégie
Une stratégie nouvellement créée existe dans l’état du mode brouillon, visible uniquement dans Microsoft Purview. L’acte de publication lance l’application d’une stratégie dans les systèmes de données spécifiés. Il s’agit d’une action asynchrone qui peut prendre entre 5 minutes et 2 heures pour être efficace, selon le type de source de données. Pour plus d’informations, consultez les guides pratiques stratégies de propriétaire de données relatifs à chaque type de source de données.
Une stratégie publiée dans une source de données peut contenir des instructions de stratégie qui font référence à une autre source de données. Ces références seront ignorées, car la ressource en question n’existe pas dans la source de données où la stratégie est appliquée.
Prochaines étapes
Consultez les guides sur la création de stratégies dans Microsoft Purview qui sont appliquées dans des systèmes de données spécifiques. Au-delà de l’interface utilisateur, vous pouvez maintenant essayer l’API Stratégies de propriétaire des données.
- Doc : Comment activer l’application de stratégie pour une source de données
- Doc : Provisionner l’accès aux jeux de données stockage Azure
- Doc : Approvisionner l’accès à toutes les sources de données dans un abonnement ou un groupe de ressources
- Doc : Provisionner l’accès aux ressources de base de données Azure SQL
- Doc : Provisionner l’accès aux ressources SQL Server 2022 (avec Arc)
- Blog : Accorder aux utilisateurs l’accès aux ressources de données de votre entreprise via l’API
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour