注意事項
Microsoft Purview 資料目錄 (傳統) 和 Data Health Insights (傳統) 不再接受新客戶,而且這些服務 (先前為 Azure Purview) 現在處於客戶支援模式。
本文說明如何使用 Microsoft Purview 治理入口網站來管理數據資產中數據源的存取權。 它著重於 DevOps 原則的基本概念。 也就是說,它提供 DevOps 原則的背景資訊,您在遵循其他文章取得設定步驟之前,應該先瞭解這些資訊。
注意事項
這項功能與 Microsoft Purview 治理入口網站中的內部存取控制不同。
存取系統中繼資料對於 IT 和 DevOps 人員至關重要,以確保關鍵資料庫系統運作良好、執行符合預期且安全。 您可以透過 Microsoft Purview DevOps 原則有效率且大規模地授與和撤銷該存取權。
任何在 Microsoft Purview 根集合層級持有原則作者角色的使用者都可以建立、更新和刪除 DevOps 原則。 儲存 DevOps 原則之後,會自動發佈。
存取原則與 DevOps 原則
Microsoft Purview 存取原則可讓客戶從雲端的中央位置管理其整個資料資產中資料系統的存取權。 您可以將這些原則視為可透過 Microsoft Purview Studio 建立的存取權授與,避免需要程式碼。 它們會指定是否應該允許或拒絕 Microsoft Entra 主體清單,例如使用者和群組,以特定類型的存取資料來源或其中的資產。 Microsoft Purview 會將這些原則傳達給數據源,以原生方式強制執行這些原則。
DevOps 原則是特殊類型的 Microsoft Purview 存取原則。 它們授予對資料庫系統中繼資料而不是使用者資料的存取權。 它們簡化了 IT 運營和安全審計人員的訪問配置。 DevOps 原則只會授與存取權。 他們不會拒絕訪問。
DevOps 原則的元素
三個元素定義 DevOps 原則:
主旨
這是授與存取權的 Microsoft Entra 使用者、群組或服務主體清單。
資料資源
這是強制執行原則的範圍。 資料資源路徑是訂用帳戶 > 資源群組 > 資料來源的組成。
Microsoft Purview DevOps 原則目前支援 SQL 類型資料來源。 您可以在個別資料來源以及整個資源群組和訂用帳戶上設定它們。 只有在 Microsoft Purview 中註冊資料資源並開啟 [ 資料原則強制執行 ] 選項之後,才能建立 DevOps 原則。
角色
角色對應至原則允許在資料資源上執行的一組動作。 DevOps 原則支援 SQL 效能監視器和 SQL 安全性稽核員角色。 這兩個角色都提供對 SQL 系統中繼資料的存取,更具體地說是 DMV) (動態管理檢視,以及 DMF (動態管理功能) 。 但這些角色授予的 DMV 和 DMF 集是不同的。 我們將 在本文後面提供一些流行的範例。
建立、列出、更新和刪除 Microsoft Purview DevOps 原則一文詳細說明每個資料來源類型的角色定義。 也就是說,它會提供 Microsoft Purview 中的角色對應至該類型數據源中允許的動作。 例如,SQL 效能監視器和 SQL 安全性稽核器的角色定義包含資料來源端伺服器和資料庫層級的 [連線] 動作。
基本上,DevOps 原則會將角色的相關許可權指派給主體,並在資料資源路徑的範圍內強制執行。
原則的分層強制執行
資料資源的 DevOps 原則會強制執行在資料資源本身及其包含的所有子資源上。 例如,Azure 訂用帳戶上的 DevOps 原則會套用至所有資源群組、每個資源群組內所有已啟用原則的資料來源,以及每個資料來源內的所有資料庫。
示範概念和優點的範例案例
Bob 和 Alice 參與了他們公司的 DevOps 流程。 他們必須登入數十個內部部署 SQL Server 執行個體和 Azure SQL 邏輯伺服器,以監視其效能,讓關鍵 DevOps 程式不會中斷。 他們的經理 Mateo 將所有這些 SQL 資料來源放入資源群組 1 中。 然後,他會建立 Microsoft Entra 群組,並包含 Alice 和 Bob。 接下來,他會使用下圖) 中的原則 1 (原則 1 Microsoft Purview DevOps 原則,將此Microsoft Entra群組授與裝載邏輯伺服器之資源群組 1 的存取權。
這些是好處:
- Mateo 不必在每台伺服器中建立本機登入。
- 來自 Microsoft Purview 的原則會藉由限制本機特殊許可權存取來改善安全性。 他們支持最小特權原則。 在此案例中,Mateo 只會授與 Bob 和 Alice 執行監視系統健康情況和效能工作所需的最低存取權。
- 將新伺服器新增至資源群組時,Mateo 不需要更新 Microsoft Purview 中的原則,即可在新伺服器上強制執行。
- 如果 Alice 或 Bob 離開組織,且作業已回填,Mateo 只會更新 Microsoft Entra 群組。 他不需要對伺服器或他在 Microsoft Purview 中建立的原則進行任何變更。
- 在任何時間點,Mateo 或公司的稽核員都可以查看直接在 Microsoft Purview Studio 中授與的所有許可權。
| 原則 | 效益 |
|---|---|
| 簡單化 | 角色定義 SQL 效能監視器和 SQL 安全性稽核器會擷取一般 IT 和 DevOps 角色執行其工作所需的許可權。 |
| 每個資料來源類型的權限專業知識需求較少。 | |
| 減少工作量 | 圖形介面可讓您快速瀏覽資料物件階層。 |
| Microsoft Purview 支援整個 Azure 資源群組和訂用帳戶的原則。 | |
| 加強安全性 | 存取權限是集中授予的,可以輕鬆審查和撤銷。 |
| 特殊許可權帳戶直接在資料來源設定存取權的需求較少。 | |
| DevOps 原則透過資料資源範圍和角色定義支援最低許可權原則。 | |
DevOps 原則 API
許多複雜的客戶偏好透過腳本與 Microsoft Purview 互動,而不是透過 UI。 Microsoft Purview DevOps 原則現在支援 REST API,以提供完整的建立、讀取、更新和刪除 (CRUD) 功能。 此功能包括清單、SQL 效能監視器的原則,以及 SQL 安全性稽核器的原則。 如需詳細資訊,請參閱 API 規格。
螢幕
流行的 DMV 和 DMF 的映射
SQL 動態中繼資料包含超過 700 個 DMV 和 DMF 的清單。 下表說明了一些最受歡迎的。 此數據表會將 DMV 和 DMF 對應至其在 Microsoft Purview DevOps 原則中的角色定義。 它還提供參考內容的鏈接。
| DevOps 角色 | 類別 | DMV 或 DMF 範例 |
|---|---|---|
| SQL 效能監視器 | 查詢系統參數以瞭解您的系統 | 系統配置 |
| sys.dm_os_sys_info | ||
| 識別效能瓶頸 | sys.dm_os_wait_stats | |
| 分析目前執行中的查詢 | sys.dm_exec_query_stats | |
| 分析封鎖問題 | sys.dm_tran_locks | |
| sys.dm_exec_requests | ||
| sys.dm_os_waiting_tasks | ||
| 分析記憶體使用量 | sys.dm_os_memory_clerks | |
| 分析檔案使用情況和效能 | sys.master_files | |
| sys.dm_io_virtual_file_stats | ||
| 分析索引使用量和碎片化 | 系統索引 | |
| sys.dm_db_index_usage_stats | ||
| sys.dm_db_index_physical_stats | ||
| 管理作用中的使用者連線和內部任務 | sys.dm_exec_sessions | |
| 取得程序執行統計資料 | sys.dm_exec_procedure_stats | |
| 使用查詢存放區 | sys.query_store_plan | |
| sys.query_store_query | ||
| sys.query_store_query_text | ||
| 取得錯誤記錄檔 (尚不支援) | sys.sp_readerrorlog | |
| SQL 安全性稽核器 | 取得稽核詳細資料 | sys.dm_server_audit_status |
| SQL 效能監視器和 SQL 安全性稽核器 | sys.dm_audit_actions | |
| sys.dm_audit_class_type_map | ||
如需當您透過 Microsoft Purview 角色授與 IT 支援人員存取權時,IT 支援人員可以執行哪些動作的詳細資訊,請參閱下列資源:
- SQL 效能監視器:使用 Microsoft Purview 提供對 Azure SQL 和 SQL Server 中效能資料的大規模存取
- SQL Security Auditor: 安全性相關的動態管理檢視和函式
後續步驟
若要開始使用 DevOps 原則,請參閱下列資源:
- 嘗試 Azure SQL 資料庫的 DevOps 原則:快速入門指南。
- 查看 其他視頻、博客和文章。