本文概述在 Microsoft Purview 中註冊和管理 Azure Data Lake Storage (ADLS Gen2) 資料來源的程式,包括驗證 ADLS Gen2 來源並與之互動的指示。
支援的功能
掃描功能
| 中繼資料擷取 | 完整掃描 | 增量掃描 | 範圍掃描 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
掃描 Azure Data Lake Storage Gen2 來源時,Microsoft Purview 支援擷取技術中繼資料,包括:
- 儲存體帳戶
- Data Lake Storage Gen2 服務
- 檔案系統 (容器)
- 資料夾
- 檔案
- 資源集
設定掃描時,您可以選擇掃描整個 ADLS Gen2 或選擇性資料夾。 在這裡了解支援的檔案格式。
其他功能
如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視,請參閱 支援的功能清單。
必要條件
具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。
作用中的 Microsoft Purview 帳戶。
您必須是資料來源系統管理員和資料讀取者,才能在 Microsoft Purview 治理入口網站中註冊來源並加以管理。 如需詳細資訊,請參閱我們的 Microsoft Purview 許可權頁面 。
您必須至少擁有 ADLS Gen 2 帳戶的讀取者許可權 ,才能註冊它。
登錄
本節可讓您在 Purview 中註冊 ADLS Gen2 數據源以進行掃描和數據共用。
註冊的先決條件
- 您必須是數據源管理員,而且必須是其他其中一個 Purview 角色 (例如數據讀取者或Data Share參與者) ,才能在 Microsoft Purview 治理入口網站中註冊來源並進行管理。 如需詳細資訊,請參閱我們的 Microsoft Purview 許可權頁面 。
註冊步驟
請務必先在 Microsoft Purview 中註冊資料來源,再設定資料來源的掃描。
透過下列方式移至 Microsoft Purview 治理入口網站:
- 直接 https://web.purview.azure.com 流覽並選取您的 Microsoft Purview 帳戶。
- 開啟 Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。
導覽至 資料對應 --> 來源
![導覽至資料對應中 [來源] 連結的螢幕擷取畫面](media/register-scan-adls-gen2/register-adls-gen2-sources.png)
使用「集合」功能表建立集合階層,並視需要將許可權指派給個別子集合
流覽至 [來源] 功能表底下的適當集合,然後選取 [ 註冊 ] 圖示以註冊新的 ADLS Gen2 數據源
選取 Azure Data Lake Storage Gen2 資料來源,然後選取 [繼續]
為資料來源提供適當的 名稱 ,選取相關的 Azure 訂用帳戶、現有的 Data Lake Store 帳戶名稱 和 集合 ,然後選取 [ 套用]。 將 「資料原則執行」 切換放在 停用 位置,直到您有機會仔細閱讀本 文檔為止。
ADLS Gen2 儲存體帳戶會顯示在選取的集合下
掃描
掃描的驗證
您的 Azure 網路可能允許 Azure 資源之間的通訊,但如果您已在 Azure 內設定防火牆、私人端點或虛擬網路,則必須遵循下列其中一個設定。
| 網路限制 | 整合執行階段類型 | 可用的認證類型 |
|---|---|---|
| 沒有私人端點或防火牆 | Azure IR | 受控識別 (建議的) 、服務主體或帳戶金鑰 |
| 已啟用防火牆,但沒有私人端點 | Azure IR | 受控識別 |
| 已啟用私人端點 | *自託管 IR | 服務主體、帳戶金鑰 |
重要事項
- *若要使用自我裝載整合執行階段,您必須先 為您的案例選擇正確的整合執行階段、建立一個,並確認 Microsoft Purview 的網路設定。
- 如果您使用 Self-Hosted Integration 執行階段來掃描 Parquet 檔案,則需要在 IR 機器上安裝 64 位 JRE 8 (Java 執行階段環境) 或 OpenJDK 。 您可以查看我們的 Java 運行時環境安裝指南。
使用系統或使用者指派的受控識別進行掃描
您可以使用兩種類型的受控識別:
系統指派的受控識別 (建議的) - 建立 Microsoft Purview 帳戶之後,系統指派的受控識別 (SAMI) 就會在租使用者中自動建立Microsoft Entra。 視資源類型而定,Microsoft Purview 系統指派的受控識別 (SAMI) 需要特定的 RBAC 角色指派才能執行掃描。
使用者指派的受控識別 (預覽) - 與系統受控識別類似,使用者指派的受控識別 (UAMI) 是認證資源,可用來允許 Microsoft Purview 針對Microsoft Entra識別碼進行驗證。 如需詳細資訊,請參閱我們的 使用者指派的受控識別指南。
請務必將掃描 ADLS Gen2 數據源的許可權授與 Microsoft Purview 帳戶或使用者指派的受控識別 (UAMI) 。 您可以新增 Microsoft Purview 帳戶的系統指派受控識別 (,其名稱與訂用帳戶、資源群組或資源層級的 Microsoft Purview 帳戶) 或 UAMI 相同,視所需的層級掃描許可權而定。
注意事項
您必須是訂用帳戶的擁有者,才能在 Azure 資源上新增受控識別。
從Azure 入口網站中,尋找訂用帳戶、資源群組或資源 (,例如您想要允許目錄掃描的Azure Data Lake Storage Gen2儲存體帳戶) 。
選取左側導覽中存取控制 (IAM) ,然後選取 + 新增 -->新增角色指派
將 [角色] 設定為 [儲存體 Blob 資料讀取者],並在 [選取] 輸入方塊底下輸入您的 Microsoft Purview 帳戶名稱或使用者指派的受控識別。 然後,選取 [儲存] ,將此角色指派授與您的 Microsoft Purview 帳戶。
注意事項
如需詳細資訊,請參閱使用 Microsoft Entra ID 授權存取 Blob 和佇列中的步驟
注意事項
如果您已為儲存體帳戶啟用防火牆,則在設定掃描時必須使用 受控識別 驗證方法。
移至 Azure 入口網站 中的 ADLS Gen2 儲存體帳戶
導覽至「安全性 + 網路>」 網路
在 Allow access from (允許存取來源) 下選擇 Selected Networks (選取的網路)
在 [例外] 區段中,選取 [允許受信任的 Microsoft 服務存取此儲存體帳戶] ,然後按一下 [儲存]
![螢幕擷取畫面],以顯示產生秘密的金鑰保存庫選項](media/register-scan-adls-gen2/register-adls-gen2-generate-secret.png)
建立掃描
開啟您的 Microsoft Purview 帳戶,然後選取 [開啟 Microsoft Purview 治理入口網站]
流覽至 資料對應 -->來源 以檢視集合階層
選取稍早註冊的 ADLS Gen2 資料來源底下的 [新增掃描] 圖示
如果您的來源可公開存取,請選擇 Azure 整合執行階段,如果使用受控虛擬網路,請選擇 受控虛擬網路整合執行階段 ,如果您的來源位於私人虛擬網路中,請選擇自我裝載整合執行階段。 如需要使用的整合執行階段的詳細資訊,請參閱 選擇正確的整合執行階段設定一文。
如果使用系統或使用者指派的受控識別
提供掃描的 名稱 ,在 認證下選取系統指派或使用者指派的受控識別,選擇掃描的適當集合,然後選取 [ 測試連線]。 連線成功時,選取 [繼續]。
設定範圍並執行掃描
您可以透過在清單中選擇適當的項目,將掃描範圍限定為特定資料夾和子資料夾。
然後選取掃描規則集。 您可以在系統預設值、現有自訂規則集之間進行選擇,或內嵌建立新的規則集。
如果建立新的 掃描規則集,請選取要包含在掃描規則中的 檔案類型 。
您可以選取要包含在掃描規則中的分類規則
選擇您的掃描觸發器。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取儲存並執行。
檢視掃描和掃描執行
若要檢視現有掃描:
- 移至 Microsoft Purview 入口網站。 在左窗格中,選取 資料對應。
- 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單,也可以在 「掃描」 標籤上檢視所有掃描。
- 選取具有您要檢視結果的掃描。 窗格會顯示所有先前的掃描執行,以及每個掃描執行的狀態和度量。
- 選取執行 ID 以檢查 掃描執行詳細資料。
管理您的掃描
若要編輯、取消或刪除掃描:
移至 Microsoft Purview 入口網站。 在左窗格中,選取 資料對應。
選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單,也可以在 「掃描」 標籤上檢視所有掃描。
選取您要管理的掃描。 然後您可以:
- 選取編輯 掃描,以編輯掃描。
- 選取 [取消掃描執行] 來取消進行中的掃描。
- 選取 [刪除掃描] 來刪除掃描。
注意事項
- 刪除掃描不會刪除從先前掃描建立的型錄資產。
資料共用
Microsoft Purview 資料共用 (預覽) 可讓您從 ADLS Gen2 就地共用資料到 ADLS Gen2。 本節提供就地共用和接收數據的 ADLS Gen2 特定需求的詳細數據。 請參閱如何 共用資料 和 如何接收共用 ,以取得如何使用資料共用的逐步指南。
支援就地資料共用的儲存體帳戶
就地資料共用支援下列儲存體帳戶:
- 區域:加拿大中部、加拿大東部、英國南部、英國西部、澳洲東部、日本東部、韓國南部和南非北部
- 備援選項:LRS、GRS、RA-GRS
- 等級:熱、冷
只使用沒有生產工作負載的儲存體帳戶進行預覽。
注意事項
來源和目標儲存體帳戶必須彼此位於相同的區域中。 它們不需要與 Microsoft Purview 帳戶位於相同的區域中。
共用資料所需的儲存體帳戶權限
若要將儲存體帳戶資產新增至共用或更新,您需要下列其中一個許可權:
- Microsoft.Authorization/roleAssignments/write - 此權限可在 擁有者 角色中使用。
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/ - 此權限可在 Blob 儲存體資料擁有者 角色中使用。
接收共用資料所需的儲存體帳戶權限
若要在收到的共用中對應儲存體帳戶資產,您需要下列其中一個許可權:
- Microsoft.Storage/storageAccounts/write - 此權限可在 參與者 和 擁有者 角色中使用。
- Microsoft.Storage/storageAccounts/blobServices/containers/write - 此權限可在 參與者、 擁有者、 儲存體 Blob 資料參與者 和 儲存體 Blob 資料擁有者 角色中使用。
更新來源儲存體帳戶中的共用資料
您從來源儲存體帳戶對共用資料夾中的共用檔案或資料所做的匯報,將會近乎即時地提供給目標儲存體帳戶中的收件者。 當您刪除共享資料夾中的子資料夾或檔案時,收件者會消失它們。 若要刪除共用資料夾、檔案或父資料夾或容器,您必須先撤銷來源儲存體帳戶對所有共用的存取權。
存取目標儲存體帳戶中的共用資料
目標儲存體帳戶可讓收件者近乎即時地以唯讀方式存取共用資料。 您可以將 Synapse Workspace 和 Databricks 等分析工具連線到共用資料,以執行分析。 存取共用資料的成本會向目標儲存體帳戶收取。
服務限制
來源儲存體帳戶最多可以支援 20 個目標,而目標儲存體帳戶最多可以支援 100 個來源。 如果您需要增加限制,請聯絡支援。
原則
來自 Microsoft Purview 的此資料資源支援下列類型的原則:
- 資料擁有者原則 - 一組原則陳述式,可讓您授與使用者和群組資料來源的存取權。
- 自助式存取原則 - 允許使用者要求存取已註冊至 Microsoft Purview 之資料來源的原則。
- 保護原則 - 拒絕所有使用者存取以敏感度標籤標記的資料,但原則所指定的使用者除外。
Azure 儲存體帳戶的存取原則必要條件
區域支援
- 支援所有 Microsoft Purview 區域 。
- 支援下列區域中的儲存體帳戶,而不需要額外的設定。 不過,不支援區域備援儲存體 (ZRS) 帳戶。
- 澳洲中部
- 澳大利亞東部
- 澳大利亞東南部
- 巴西南部
- 加拿大中部
- 加拿大東部
- 印度中部
- 美國中部
- 東亞
- 美國東部 2
- 美國東部
- 法國中部
- 德國中西部
- 日本東部
- 日本西部
- 韓國中部
- 美國中北部
- 北歐
- 挪威東部
- 波蘭中部
- 卡塔爾中部
- 美國中南部
- 南非北部
- 東南亞
- 南印度
- 瑞典中部
- 瑞士北部
- 美國中西部
- 西歐
- 美國西部
- 美國西部 2
- 美國西部 3
- 阿聯酋北部
- 英國南部
- 英國西部
- 設定功能旗標 AllowPurviewPolicyEnforcement 之後,支援公用雲端中其他區域中的儲存體帳戶,如下一節所述。 如果在設定功能旗標 AllowPurviewPolicyEnforcement 之後建立,則支援新建立的 ZRS 儲存體帳戶。
如有需要,您可以 依照本指南建立新的儲存體帳戶。
設定 Azure 儲存體帳戶所在的訂用帳戶,以取得來自 Microsoft Purview 的原則
此步驟僅在某些地區需要 (請參閱前面的第) 節。 若要讓 Microsoft Purview 管理一或多個 Azure 儲存體帳戶的原則,請在您要部署 Azure 儲存體帳戶的訂用帳戶中執行下列 PowerShell 命令。 這些 PowerShell 命令可讓 Microsoft Purview 管理該訂用帳戶中所有 Azure 儲存體帳戶的原則。
如果您在本機執行這些命令,請務必以系統管理員身分執行 PowerShell。 或者,您可以在 Azure 入口網站 中使用 Azure Cloud Shell:https://shell.azure.com。
# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage
如果最後一個命令的輸出將 RegistrationState 顯示為 已註冊,則您的訂閱已啟用存取原則。 如果輸出為 Registering,請等待至少 10 分鐘,然後重試命令。 除非 RegistrationState 顯示為 Registered,否則請勿繼續。
設定原則的 Microsoft Purview 帳戶
在 Microsoft Purview 中註冊資料來源
在 Microsoft Purview 中為資料資源建立原則之前,您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
設定許可權以在資料來源上啟用資料原則強制執行
註冊資源之後,在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行, 您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或其任何父項 (,也就是使用 IAM 許可繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取管理員
若要設定 Azure 角色型存取控制 (RBAC) 許可權,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段,讓資料資源新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。
如果您) 已啟用繼承,您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色,或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則作者角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限,原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。
設定 Microsoft Purview 許可權以發佈資料擁有者原則
如果您將 Microsoft Purview 原則作者 和 資料來源系統管理員 角色指派給組織中的不同人員,則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前,第二個人員 (資料來源管理員) 必須檢閱它,並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資源以強制 執行資料原則之後,任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員、 數據源系統管理員或 原則作者 角色的使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊數據源以強制執行數據原則
您必須先向 Microsoft Purview 註冊 Azure 儲存體資源,才能建立存取原則。 若要註冊您的資源,請遵循本指南的 必要條件 和 註冊 區段:
註冊資料來源之後,您必須啟用 [資料原則強制執行]。 這是您可以在資料來源上建立原則之前的先決條件。 數據原則強制執行可能會影響數據的安全性,因為它會委派給管理數據源存取權的特定 Microsoft Purview 角色。 在本指南中瞭解與資料原則強制執行相關的安全實務:如何啟用資料原則強制執行
一旦您的數據源將 [數據原則強制執行] 選項設定為 [已啟用],它看起來會像以下螢幕截圖所示: ![螢幕快照顯示如何使用 [數據原則強制執行] 選項設定為啟用來註冊政策的資料來源](media/how-to-policies-data-owner-storage/enable-policy-enforcement-storage.png)
建立原則
若要建立 Azure Data Lake Storage Gen2 的存取原則,請遵循下列指引:
若要建立涵蓋資源群組或 Azure 訂用帳戶內所有資料來源的原則,您可以參閱 本節。
保護政策
保護存取控制原則 (保護原則) 使組織能夠跨資料來源自動保護敏感資料。 Microsoft Purview 已掃描數據資產並識別敏感性數據元素,這項新功能可讓您使用 Microsoft Purview 資訊保護 中的敏感度標籤,自動限制對該數據的存取。
請遵循此檔來建立保護原則:如何建立 Microsoft Purview 資訊保護原則。
後續步驟
請遵循下列指南,以深入瞭解 Microsoft Purview 和您的數據。