Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor Sie fortfahren, sollten Sie sich einen Überblick über den Speicherermittlungsdienst und den Wert verschaffen, den er Ihnen bieten kann.
Stellen Sie sicher, dass der Dienst für Ihr Szenario geeignet ist.
Azure Storage Ermittlung zeigt derzeit Erkenntnisse zu Ressourcen des Azure Blob Storage-Diensts an. Die Abdeckung umfasst auch Speicherkonten, die mit dem hierarchischen Namespacefeature konfiguriert sind, um Azure Data Lake Storage zu aktivieren.
Die Ermittlung funktioniert derzeit nicht für Azure Files oder andere Speichertypen.
Grundlagen der Bereitstellung
Für Ihre Azure Storage Ressourcen (z. B. Speicherkonten) treten keine Transaktionen oder Leistungseinbußen auf, wenn sie mit Azure Storage Discovery analysiert werden.
Das Bereitstellen des Diensts bedeutet, dass eine Speicherermittlungs-Arbeitsbereichsressource in einer Ressourcengruppe in einem Ihrer Abonnements bereitgestellt und konfiguriert wird. Der Discovery-Dienst arbeitet daran, Erkenntnisse über Ihre Azure Blob Storage zu berechnen und zu speichern. Diese berechneten Erkenntnisse werden in der Region des arbeitsbereichs gespeichert, den Sie erstellt haben. Außer dem Storage Discovery-Arbeitsbereich muss keine andere Infrastruktur bereitgestellt werden.
Der Arbeitsbereich kann so konfiguriert werden, dass Erkenntnisse für alle Abonnements im Azure-Mandanten aggregiert werden, in dem der Arbeitsbereich bereitgestellt wird. Um Erkenntnisse zu Azure Storage Ressourcen zu generieren, z. B. Speicherkonten, müssen Sie Mitglied der Rolle "RBAC(Role Based Access Control)"-Leser für jede Speicherressource sein.
Von Bedeutung
Um genaue Einblicke zu erhalten, müssen Sie Ihren Arbeitsbereich für Ressourcen konfigurieren, für die Sie über Berechtigungen verfügen.
Der Abschnitt Berechtigungen in diesem Artikel enthält wichtige Details, die Sie überprüfen sollten.
Vorbereiten Ihres Abonnements
Sie müssen ein Abonnement auswählen, das demselben Azure-Mandanten wie die Azure Storage Ressourcen (z. B. Speicherkonten) unterliegt, für die Sie Erkenntnisse erhalten möchten. Wenn Sie sich für ein Azure-Abonnement und eine Ressourcengruppe für Ihren Storage Discovery-Arbeitsbereich entschieden haben, lesen Sie die folgenden Abschnitte, um sicherzustellen, dass Ihr Abonnement vorbereitet ist.
Ressourcenanbieter-Namespace
Bevor ein Dienst zum ersten Mal in einem Azure-Abonnement verwendet wird, muss dessen Ressourcenanbieter-Namespace einmal beim ausgewählten Abonnement registriert werden. Azure Storage Ermittlung hat die gleiche Anforderung. Ein Abonnementbesitzer oder Mitwirkender kann diese Aktion ausführen. Wenn Sie diese Registrierungsaktion vor der tatsächlichen Bereitstellung des Storage Discovery-Arbeitsbereichs ausführen, können Administratoren mit weniger Berechtigungen zum Bereitstellen und Verwenden des Storage Discovery-Diensts arbeiten.
Von Bedeutung
Das Abonnement muss bei den Ressourcenanbieternamespaces "Microsoft.StorageDiscovery" registriert sein.
Registrieren eines Ressourcenanbieters
Tipp
Wenn Sie einen Speicherermittlungsarbeitsbereich als Abonnementbesitzer oder Mitwirkender über das Azure-Portal bereitstellen, wird Ihr Abonnement automatisch mit diesem Ressourcenanbieternamespace registriert. Sie müssen die Registrierung nur manuell durchführen, wenn Sie Azure PowerShell oder cli verwenden.
Sobald ein Abonnement für diesen Ressourcenanbieternamespace aktiviert ist, bleibt es aktiviert, bis die Registrierung manuell aufgehoben wird. Sie können sogar den letzten Speicherermittlungsarbeitsbereich löschen, und Ihr Abonnement bleibt weiterhin aktiviert. Nachfolgende Bereitstellungen des Storage Discovery-Arbeitsbereichs erfordern dann eingeschränkte Berechtigungen eines Administrators. Der folgende Abschnitt enthält eine Aufschlüsselung der verschiedenen Verwaltungsszenarien und der erforderlichen Berechtigungen.
Entscheiden Sie, wie viele Arbeitsbereiche Sie benötigen.
Ein Storage Discovery-Arbeitsbereich muss mit Bereichenkonfiguriert werden. Der Artikel "Verwaltungskomponenten" enthält Details zu Arbeitsbereichsbereichen. Bereiche sind logische Gruppen von Speicherressourcen. Ein Bereich kann beispielsweise auf alle Speicherressourcen einer bestimmten Workload oder Abteilung verweisen, für die Sie separat Erkenntnisse erhalten möchten.
Da Sie nur eine begrenzte Anzahl von Bereichen in einem Arbeitsbereich konfigurieren können, benötigen Sie möglicherweise mehr als einen Arbeitsbereich, um Ihre Anforderungen an die Berichterstellung von Erkenntnissen zu erfüllen.
Wenn ein Arbeitsbereich für Erkenntnisse auf höherer Ebene verwendet werden soll, können Sie einen Arbeitsbereich mit einem Bereich für Ihre gesamte Azure Storage Umgebung erstellen und dann Bereiche für jede Abteilung hinzufügen. Wenn ein Arbeitsbereich für die Bereitstellung von Erkenntnissen für bestimmte Workloads vorgesehen ist, können Sie einen Arbeitsbereich erstellen, der einen Bereich für jede Workload enthält.
Überprüfen Ihrer Azure-Ressourcentags
Sie können auswählen, welche Speicherressourcen in einem Arbeitsbereichsbereich enthalten sind, indem Sie zuerst bestimmte Abonnements oder Ressourcengruppen auswählen und dann die darin enthaltenen Speicherressourcen nach Azure-Ressourcentagsfiltern. Es ist wichtig, dass Sie sich mit den verfügbaren Ressourcentags für Ihre Speicherressourcen vertraut machen. Stellen Sie sicher, dass sie konsistent angewendet werden, und katalogisieren Sie sie dann zum Erstellen der Bereiche in Ihrem Arbeitsbereich. Planen Sie die Bereiche, die Sie benötigen, um Erkenntnisse pro Abteilung, Workload oder anderen Gruppierungen zur Verfügung zu stellen, für die Sie eine Verwendung haben.
Auswählen der Azure-Region für die Bereitstellung
Wenn Sie einen Storage Discovery-Arbeitsbereich bereitstellen, müssen Sie eine Region auswählen. Die ausgewählte Region bestimmt, wo die berechneten Erkenntnisse zu Ihren Azure Storage-Ressourcen gespeichert werden. Sie können weiterhin Erkenntnisse für Azure Storage Ressourcen erfassen, die sich in anderen Regionen befinden. Eine allgemeine bewährte Methode besteht darin, die Region für Ihren Arbeitsbereich gemäß den Anforderungen an die Metadatenresidenz auszuwählen, die für Sie und in näherer Nähe zu Ihrem Standort gelten. Das Visualisieren Ihrer Erkenntnisse aus einem Arbeitsbereich, der näher bei Ihnen ist, kann einen geringfügigen Leistungsvorteil haben.
Speicherermittlungsarbeitsbereiche können in den folgenden Regionen erstellt werden:
- Frankreich, Mitte
- Kanada, Mitte
- USA, Osten 2
- Nordeuropa
- Westeuropa
- Westliches USA 2
- Süd-Mittel-USA
- Australien (Osten)
- Zentralindien
- Japan, Osten
- Brasilien Süd
Ein Speicherermittlungsarbeitsbereich kann Speicherkonten abdecken, die sich in einer beliebigen öffentlichen Cloudregion befinden. Wenn eine neue öffentliche Azure-Cloudregion verfügbar wird, kann es zu einer Verzögerung kommen, bis Speicherressourcen aus dieser neuen Region vom Speicherermittlungsdienst abgedeckt werden.
Erlaubnisse
Berechtigungen werden über die vertraute Azure Role Based Access Control (RBAC) verwaltet. In diesen Abschnitten werden folgende Themen behandelt:
- Berechtigung für die Speicherressourcen, für die Sie Erkenntnisse vom Ermittlungsdienst erhalten möchten.
- Überlegungen zu Berechtigungen für eine Arbeitsbereichsressource.
Berechtigungen für Ihre Speicherressourcen
Während der Erstellung eines Storage Discovery-Arbeitsbereichs konfigurieren Sie den Arbeitsbereichsstamm. Der Artikel Verwaltungskomponenten enthält weitere Details zu dieser Konfiguration. Im Stammverzeichnis des Arbeitsbereichs listen Sie mindestens eine und höchstens 100 Azure-Ressourcen unterschiedlicher Typen auf:
- Abonnements
- Ressourcengruppen
Die Person, die den Arbeitsbereich bereitstellt, muss mindestens über die Rollenzuweisung Reader für Rollebasierte Zugriffssteuerung (RBAC) für jede Ressource im Stammverzeichnis des Arbeitsbereichs verfügen. Leser ist die mindest erforderliche Berechtigungsstufe. Mitwirkender und Besitzer werden ebenfalls unterstützt.
Es ist möglich, dass ein Im Azure-Portal aufgeführtes Abonnement angezeigt wird, für das Sie diese direkte Leserolle nicht zugewiesen haben. Wenn Sie eine Ressource sehen können, für die Sie keine Rollenzuweisung haben, verfügen Sie wahrscheinlich über Berechtigungen für eine Unterressource in diesem Abonnement. In diesem Fall wurde Ihnen das Vorhandensein dieses "übergeordneten Elements" angezeigt, aber Sie haben keine Rechte für die Abonnementressource selbst. Dieses Beispiel kann auch auf Ressourcengruppen erweitert werden. Wenn ein Leser oder eine höhere direkte Rollenzuweisung fehlt, wird eine Azure-Ressource nicht als Basis (Stamm) eines Arbeitsbereichs qualifiziert.
Berechtigungen werden nur überprüft, wenn ein Arbeitsbereich erstellt wird. Jede Änderung der Berechtigungen des Azure-Kontos, das den Arbeitsbereich erstellt hat, einschließlich des Löschvorgangs, hat keine Auswirkungen auf den Arbeitsbereich oder die Discoverydienstfunktionalität.
Überlegungen zu Berechtigungen für eine Arbeitsbereichsressource.
Der Azure Storage Discovery-Arbeitsbereich speichert die berechneten Einblicke für Ihre Speicherfläche. Sie können auf Berichte im Azure-Portal zugreifen oder diese Erkenntnisse über Azure Copilot verwenden. Um auf in einem Arbeitsbereich gespeicherte Einblicke zuzugreifen, muss ein Benutzer mindestens über die RBAC-Rollenleser im Arbeitsbereich verfügen. Mitwirkende - und Besitzerrollenzuweisungen funktionieren ebenfalls. Sie können einblickebasierten Zugriff auf einen anderen Benutzer gewähren, indem Sie ihm eine der drei zuvor aufgeführten Rollen im Arbeitsbereich zuweisen.
| Szenario | Minimale RBAC-Rollenzuweisungen erforderlich |
|---|---|
| Registrieren eines Ressourcenanbieter-Namespaces bei einem Abonnement | Abonnement: Contributor |
| Bereitstellen eines Speicherermittlungsarbeitsbereichs (Ressourcenanbieternamespace bereits registriert) |
Ressourcengruppe: Contributor |
| Teilen der Einblicke in die Speicherermittlung mit einer anderen Person | Speicherermittlungsarbeitsbereich: Owner |
| Einer Person das Vornehmen von Änderungen an der Arbeitsbereichskonfiguration ermöglichen | Speicherermittlungsarbeitsbereich: Contributor |
Vorsicht
Wenn Sie anderen Benutzern Zugriff auf einen Arbeitsbereich gewähren, geben Sie alle Erkenntnisse des Arbeitsbereichs offen. Andere Benutzer sind möglicherweise nicht berechtigt, über das Vorhandensein der Azure-Ressourcen oder Erkenntnisse über die von ihnen gespeicherten Daten zu erfahren. Die Bereitstellung des Zugriffs auf einen Arbeitsbereich bietet keinen Zugriff auf ein einzelnes Speicherkonto, eine Ressourcengruppe oder ein Abonnement. Einzelne Ressourcen unterliegen weiterhin der RBAC.