本文概述如何註冊 Azure Synapse Analytics 工作區。 它也會說明如何在 Microsoft Purview 中驗證 Azure Synapse Analytics 工作區並與之互動。 深入了解 Microsoft Purview。
注意事項
Azure Synapse工作區中有專用 SQL 集區 (先前稱為 SQL DW) 和專用 SQL 集區,您可以參考 SQL DW) (專用 SQL 集區與Azure Synapse工作區中的專用 SQL 集區之間的差異,以取得兩者之間的詳細差異。 目前Microsoft Purview 會為專用 SQL 集區提供個別的資料來源 (先前的 SQL DW) 和專用 SQL 集區:
- 如果您想要註冊和掃描專用 SQL 集區 (先前稱為 SQL DW) ,您可以遵循連線 到 Microsoft Purview 中的專用 SQL 集區中的指示。
- 如果您想要註冊並掃描專用 SQL 集區 (先前稱為 SQL DW) ,該集區已啟用Azure Synapse工作區功能,如啟用專用 SQL 集區 (先前的 SQL DW) 中所述Azure Synapse工作區功能,請遵循連線到 Microsoft Purview 中Azure Synapse Analytics 工作區中的指示。
- 如果您想要在 Azure Synapse 工作區中註冊和掃描專用 SQL 集區或無伺服器 SQL 集區,請參閱在 Microsoft Purview 中連線並管理 Azure Synapse Analytics 工作區。
支援的功能
掃描功能
| 中繼資料擷取 | 完整掃描 | 增量掃描 | 範圍掃描 |
|---|---|---|---|
| 是 | 是 | 是 | 否 |
目前不支援 Azure Synapse Analytics 湖資料庫。
針對外部資料表,Azure Synapse Analytics 目前不會擷取這些資料表與其原始檔案的關聯性。
其他功能
如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視,請參閱 支援的功能清單。
必要條件
具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。
作用中的 Microsoft Purview 帳戶。
資料來源系統管理員和資料讀取者許可權,以註冊來源,並在 Microsoft Purview 治理入口網站中進行管理。 如需詳細資訊,請參閱 Microsoft Purview 治理入口網站中的存取控制。
登錄
下列程式說明如何使用 Microsoft Purview 治理入口網站,在 Microsoft Purview 中註冊Azure Synapse分析工作區。
只有在 Azure Synapse Analytics 工作區上至少具有資料讀取者角色,且同時也是 Microsoft Purview 中資料來源系統管理員的使用者,才能註冊 Azure Synapse Analytics 工作區。
開啟 Microsoft Purview 治理入口網站 ,然後選取您的 Microsoft Purview 帳戶。
或者,移至 Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶,然後選取 Microsoft Purview 治理入口網站按鈕。
在左窗格中,選取 來源。
選取 [登錄]。
在 註冊來源 下,選取 Azure Synapse Analytics (多個) 。
選取 [繼續]。
在 [註冊來源 (Azure Synapse Analytics) ] 頁面上,執行下列動作:
針對 [名稱],輸入要列在 Microsoft Purview 整合式目錄中的資料來源名稱。
或者,針對 Azure 訂用帳戶,選擇要篩選到的訂用帳戶。
針對 [工作區名稱],選取您正在使用的工作區。
SQL 端點的方塊會根據您的工作區選取項目自動填入。
從清單中選取集合。
選取 [註冊] 以完成資料來源的註冊。
掃描
使用下列步驟來掃描 Azure Synapse Analytics 工作區,以自動識別資產並分類您的資料。 如需一般掃描的詳細資訊,請參閱 Microsoft Purview 中的掃描和擷取。
- 設定驗證以列舉 專用 或 無伺服器 資源。 此步驟可讓 Microsoft Purview 列舉您的工作區資產並執行掃描。
- 套用 權限以掃描工作區的內容。
- 確認您的 網路已設定為允許 Microsoft Purview 的存取。
列舉驗證
請使用下列程序來設定驗證。 您必須是擁有者或使用者存取管理員,才能新增指定的角色。
列舉專用 SQL 資料庫資源的驗證
- 在 Azure 入口網站 中,移至 Azure Synapse Analytics 工作區資源。
- 在左窗格中,選取 存取控制 (IAM) 。
- 選取 [新增] 按鈕。
- 設定 [讀者] 角色,然後輸入您的 Microsoft Purview 帳戶名稱,代表其受控服務身分識別 (MSI) 。
- 選取 [儲存] 以完成角色指派。
如果您想要掃描專用 SQL 集區 (先前稱為 SQL DW) ,且已啟用Azure Synapse工作區功能,如啟用專用 SQL 集區 (先前稱為 SQL DW) 中所述Azure Synapse工作區功能,以下是專用 SQL 集區 (先前稱為 SQL DW) 所需的其他設定步驟:
- 在Azure 入口網站中,移至與專用 SQL 集區相關聯的 SQL Server 資源 (先前稱為 SQL DW) 。
- 在左窗格中,選取 存取控制 (IAM) 。
- 選取 [新增] 按鈕。
- 設定 [讀者] 角色,然後輸入您的 Microsoft Purview 帳戶名稱,代表其受控服務身分識別 (MSI) 。
- 選取 [儲存] 以完成角色指派。
注意事項
如果您打算在 Microsoft Purview 帳戶中註冊和掃描多個 Azure Synapse Analytics 工作區,您也可以從較高層級指派角色,例如資源群組或訂用帳戶。
列舉無伺服器 SQL 資料庫資源的驗證
您需要設定驗證的三個位置,以允許 Microsoft Purview 列舉您的無伺服器 SQL 資料庫資源。
若要設定 Azure Synapse Analytics 工作區的驗證:
- 在 Azure 入口網站 中,移至 Azure Synapse Analytics 工作區資源。
- 在左窗格中,選取 存取控制 (IAM) 。
- 選取 [新增] 按鈕。
- 設定 [讀者 ] 角色,然後輸入您的 Microsoft Purview 帳戶名稱,代表其 MSI。
- 選取 [儲存] 以完成角色指派。
若要設定儲存體帳戶的驗證:
- 在 Azure 入口網站 中,移至包含與 Azure Synapse Analytics 工作區相關聯之儲存體帳戶的資源群組或訂用帳戶。
- 在左窗格中,選取 存取控制 (IAM) 。
- 選取 [新增] 按鈕。
- 設定 儲存體 Blob 資料讀取者 角色,並在 [ 選取 ] 方塊中輸入您的 Microsoft Purview 帳戶名稱 (,代表其 MSI) 。
- 選取 [儲存] 以完成角色指派。
若要設定 Azure Synapse Analytics 無伺服器資料庫的驗證:
移至您的 Azure Synapse Analytics 工作區,然後開啟 Synapse Studio。
在左窗格中,選取 [資料]。
選取其中一個資料庫旁邊的省略符號 (...) ,然後啟動新的 SQL 指令碼。
在 SQL 指令碼中執行下列命令,以新增無伺服器 SQL 資料庫上的帳戶名稱) 所代表的 Microsoft Purview 帳戶 MSI (:
CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;
套用權限以掃描工作區的內容
您必須在每個要從 Azure Synapse Analytics 工作區註冊和掃描的 SQL 資料庫上設定驗證。 從下列案例中選取套用權限的步驟。
重要事項
下列無伺服器資料庫的步驟 不 適用於複寫的資料庫。 在 Azure Synapse Analytics 中,從 Spark 資料庫複寫的無伺服器資料庫目前是唯讀的。 如需詳細資訊,請參閱複 寫資料庫不允許作業。
針對專用 SQL 資料庫使用受控識別
重要事項
如果您使用 自我裝載整合執行階段 連線到私人網路上的資源,受控識別將無法運作。 您必須使用服務主體驗證或 SQL 驗證。
若要執行下列程式中的命令,您必須是工作區上的 Azure Synapse 系統管理員。 如需 Azure Synapse Analytics 許可權的詳細資訊,請參閱設定 Azure Synapse Analytics 工作區的存取控制。
移至您的 Azure Synapse Analytics 工作區。
移至 [ 資料 ] 區段,然後尋找其中一個專用 SQL 資料庫。
選取資料庫名稱旁邊的省略符號 (...) ,然後啟動新的 SQL 指令碼。
在 SQL 指令碼中執行下列命令,以新增帳戶名稱所代表的 Microsoft Purview 帳戶 MSI MSI (,) 如專用 SQL 資料庫上所示
db_datareader:CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_datareader', [PurviewAccountName] GO在 SQL 指令碼中執行下列命令,以驗證角色的新增:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
針對您要掃描的每個資料庫,請遵循相同的步驟。
針對無伺服器 SQL 資料庫使用受控識別
移至您的 Azure Synapse Analytics 工作區。
移至 [ 資料 ] 區段,然後選取其中一個 SQL 資料庫。
選取資料庫名稱旁邊的省略符號 (...) ,然後啟動新的 SQL 指令碼。
在 SQL 指令碼中執行下列命令,以新增帳戶名稱所代表的 Microsoft Purview 帳戶 MSI (,) 無伺服器 SQL 資料庫上:
db_datareaderCREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName]; ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName];在 SQL 指令碼中執行下列命令,以驗證角色的新增:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
針對您要掃描的每個資料庫,請遵循相同的步驟。
授與使用外部資料表認證的許可權
如果 Azure Synapse Analytics 工作區有任何外部資料表,您必須將外部資料表範圍認證的 Microsoft Purview 受控識別參考許可權授與。 透過參考權限,Microsoft Purview 可以從外部資料表讀取資料。
在 SQL 指令碼中執行下列命令,以取得資料庫範圍認證的清單:
Select name, credential_identity from sys.database_scoped_credentials;若要授與資料庫範圍認證的存取權,請執行下列命令。 取代
scoped_credential為資料庫範圍認證的名稱。GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];若要驗證權限指派,請在 SQL 指令碼中執行下列命令:
SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name FROM sys.database_permissions AS dp JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;
設定 Azure Synapse Analytics 工作區的防火牆存取
在 Azure 入口網站 中,移至 Azure Synapse Analytics 工作區。
在左窗格中,選取 [ 網路]。
針對 [允許 Azure 服務和資源存取此工作區 控制項],選取 [ 開啟]。
選取 [儲存]。
如果您想要掃描專用 SQL 集區 (先前稱為 SQL DW) ,且已啟用Azure Synapse工作區功能,如啟用專用 SQL 集區 (先前稱為 SQL DW) 中所述Azure Synapse工作區功能,以下是專用 SQL 集區 (先前稱為 SQL DW) 所需的其他設定步驟:
在Azure 入口網站中,移至與專用 SQL 集區相關聯的 SQL Server 資源 (先前稱為 SQL DW) 。
在左窗格中,選取 [ 網路]。
針對 [允許 Azure 服務和資源存取此伺服器控制項],選取 [開啟]。
選取 [儲存]。
重要事項
如果您無法在 Azure Synapse Analytics 工作區上啟用 [允許 Azure 服務和資源存取此工作區],當您在 Microsoft Purview 治理入口網站中設定掃描時,將會發生無伺服器資料庫列舉失敗。 在此情況下,您可以選擇 手動輸入 選項來指定您要掃描的資料庫名稱,然後 使用 API 繼續或設定掃描。
建立並執行掃描
在 Microsoft Purview 治理入口網站的左窗格中,選取 [ 資料對應]。
選取您註冊的資料來源。
選取 [ 檢視詳細資料],然後選取 [新增掃描]。 或者,您可以選取來源磚上的 [掃描] 快速動作 圖示。
在 [掃描 詳細資料] 窗格的 [ 名稱 ] 方塊中,輸入掃描的名稱。
注意事項
針對整合執行階段,如果您使用 受控 VNet 執行階段,請確定您已建立必要的受控私人 Enpoint:
- 若要掃描無伺服器集區,請為您的 Synapse 工作區建立 sqlOnDemand 子資源類型的受控私人節點。
- 若要掃描專用集區,請為您的 Synapse 工作區建立 sql 子資源類型的受控私人節點。
- 如果您同時掃描無伺服器和專用集區,則必須同時建立受控私人端點,並在精靈中選取其中一個。
在 認證 下拉式清單中,選取認證以連線至資料來源內的資源。
針對 [資料庫選取方法],選取 [從 Synapse 工作區] 或 [手動輸入]。 根據預設,Microsoft Purview 會嘗試列舉工作區下的資料庫,而且您可以選取要掃描的資料庫。
如果您收到錯誤,指出 Purview 無法載入無伺服器資料庫Microsoft,您可以 手動選取 Enter 來指定專用或無伺服器) 的資料庫類型 (對應的資料庫名稱。
選取 [ 測試連線 ] 以驗證設定。 如果您收到任何錯誤,請在報告頁面上將滑鼠停留在連線狀態上以查看詳細資料。
選取 [繼續]。
選取 [掃描 Azure Synapse SQL] 類型的規則集。 您也可以內嵌建立掃描規則集。
選擇您的掃描觸發器。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [儲存] 以完成設定。
檢視掃描和掃描執行
若要檢視現有掃描:
- 移至 Microsoft Purview 入口網站。 在左窗格中,選取 資料對應。
- 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單,也可以在 「掃描」 標籤上檢視所有掃描。
- 選取具有您要檢視結果的掃描。 窗格會顯示所有先前的掃描執行,以及每個掃描執行的狀態和度量。
- 選取執行 ID 以檢查 掃描執行詳細資料。
管理您的掃描
若要編輯、取消或刪除掃描:
移至 Microsoft Purview 入口網站。 在左窗格中,選取 資料對應。
選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單,也可以在 「掃描」 標籤上檢視所有掃描。
選取您要管理的掃描。 然後您可以:
- 選取編輯 掃描,以編輯掃描。
- 選取 [取消掃描執行] 來取消進行中的掃描。
- 選取 [刪除掃描] 來刪除掃描。
注意事項
- 刪除掃描不會刪除從先前掃描建立的型錄資產。
使用 API 設定掃描
以下是使用 Microsoft Purview REST API 建立無伺服器資料庫掃描的範例。 將大括號中的預留位置取代 ({}) 為您的實際設定。 從 掃描 - 建立或更新中了解更多。
PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview
在下列程式碼中, collection_id 不是集合的易記名稱,而是五個字元的識別碼。 對於根集合, collection_id 是集合的名稱。 對於所有子集合,您可以在下列其中一個位置找到識別碼:
Microsoft Purview 治理入口網站中的 URL。 選取集合,然後檢查 URL 以尋找顯示 collection= 的位置。 那是你的身份證件。 在下列範例中, Investment 集合的 ID 為 50h55c。
您可以列出根集合的 子集合名稱 來列出集合,然後使用名稱而不是易記名稱。
{
"properties":{
"resourceTypes":{
"AzureSynapseServerlessSql":{
"scanRulesetName":"AzureSynapseSQL",
"scanRulesetType":"System",
"resourceNameFilter":{
"resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
}
}
},
"credential":{
"referenceName":"{credential_name}",
"credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
},
"collection":{
"referenceName":"{collection_id}",
"type":"CollectionReference"
},
"connectedVia":{
"referenceName":"{integration_runtime_name}",
"integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
}
},
"kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}
若要排程掃描,請在建立掃描之後為其建立觸發程式。 如需詳細資訊,請參閱 觸發器 - 建立觸發器。
疑難排解
如果您在掃描時遇到任何問題:
後續步驟
現在您已註冊來源,請使用下列指南來深入瞭解 Microsoft Purview 和您的數據: