建立、列出、更新和刪除 Microsoft Purview DevOps 原則
DevOps 原則 是一種 Microsoft Purview 存取原則。 您可以使用它們來管理已在 Microsoft Purview 中註冊資料 使用管理 之資料來源的系統中繼資料存取權。
您可以直接從 Microsoft Purview 治理入口網站設定 DevOps 原則。 儲存之後,資料來源會自動發佈並強制執行它們。 Microsoft Purview 原則只會管理 Azure Active Directory (Azure AD) 主體的存取權。
本指南涵蓋 Microsoft Purview 中的設定步驟,以使用 SQL 效能監視器 和 SQL 安全性稽核員角色的 DevOps 原則動作來布建資料庫系統中繼資料的存取權。 它會示範如何建立、列出、更新和刪除 DevOps 原則。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門手冊來建立一個。
設定
在 Microsoft Purview 原則入口網站中撰寫原則之前,您必須先設定資料來源,以便它們可以強制執行這些原則:
- 請遵循來源的任何原則特定必要條件。 檢查 Microsoft Purview 支援的資料來源資料表 ,並選 取 [存取 原則] 資料行中可用存取原則的來源連結。 請遵循和一節中所列的任何步驟。
- 在 Microsoft Purview 中註冊資料來源。 請遵循資源 來源頁面 的和區段。
- 在資料來源註冊中開啟 [資料使用管理 ] 切換。 如需詳細資訊,包括此步驟所需的其他許可權,請參閱 在 Microsoft Purview 來源上啟用資料使用管理。
建立新的 DevOps 原則
若要建立 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中有關管理 Microsoft Purview 角色指派的章節。 然後,遵循下列步驟:
在左窗格中,選取 [ 資料原則]。 然後選 取 [DevOps 原則]。
選取 [ 新增原則] 按鈕。
原則詳細資料面板隨即開啟。
針對 [資料來源類型],選取資料來源。 在 [資料來源名稱]下,選取其中一個列出的資料來源。 然後按一下 [選取 ] 返回 [ 新增原則 ] 窗格。
選取效 能監視 或 安全性稽核這兩個角色的其中一個。 然後選取 [新增/移除主體 ] 以開啟 [ 主旨] 面板。
在 [ 選取主體 ] 方塊中,輸入 Azure AD 主體的名稱 (使用者、群組或服務主體) 。 支援 Microsoft 365 群組,但群組成員資格的更新最多需要一小時才會反映在 Azure AD 中。 繼續新增或移除主題,直到您滿意為止,然後選取 [ 儲存]。
選 取 [儲存 ] 以儲存原則。 原則會自動發佈。 強制執行會在五分鐘內從資料來源開始。
列出 DevOps 原則
若要列出 DevOps 原則,請先確定您在根集合層級具有下列其中一個 Microsoft Purview 角色:原則作者、資料來源管理員、資料編者或資料讀取者。 請參閱 本指南中有關管理 Microsoft Purview 角色指派的章節。 然後,遵循下列步驟:
在左窗格中,選取 [ 資料原則]。 然後選 取 [DevOps 原則]。
[ DevOps 原則 ] 窗格會列出任何已建立的原則。
更新 DevOps 原則
若要更新 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中有關管理 Microsoft Purview 角色指派的章節。 然後,遵循下列步驟:
在左窗格中,選取 [ 資料原則]。 然後選 取 [DevOps 原則]。
在 [ DevOps 原則 ] 窗格中,從其中一個原則的資料資源路徑中選取原則詳細資料,以開啟原則詳細資料。
在原則詳細資料的窗格上,選取 [ 編輯]。
進行變更,然後選取 [ 儲存]。
刪除 DevOps 原則
若要刪除 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中有關管理 Microsoft Purview 角色指派的章節。 然後,遵循下列步驟:
在左窗格中,選取 [ 資料原則]。 然後選 取 [DevOps 原則]。
選取其中一個原則的核取方塊,然後選取 [ 刪除]。
測試 DevOps 原則
建立原則之後,您選取為主體的任何 Azure AD 使用者現在都可以連線到原則範圍內的資料來源。 若要測試,請使用 SQL Server Management Studio (SSMS) 或任何 SQL 用戶端,並嘗試查詢 DMV) 和動態管理功能 (DMV (DMFs) 的一些動態管理檢視。 下列各節列出一些範例。 如需更多範例,請參閱我可以 使用 Microsoft Purview DevOps 原則完成什麼?中的熱門 DMV 和 DMF 的對應。
如果您需要更多疑難排解,請參閱本指南中的 後續步驟 一節。
測試 SQL 效能監視器存取
如果您提供 SQL 效能監視器 角色的原則主體,您可以發出下列命令:
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
測試 SQL 安全性稽核員存取權
如果您提供 SQL 安全性稽核員角色的原則主體,您可以從 SSMS 或任何 SQL 用戶端發出下列命令:
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
確定沒有使用者資料的存取權
嘗試使用下列命令存取其中一個資料庫中的資料表:
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
您要測試的 Azure AD 主體應該遭到拒絕,這表示資料會受到保護,免于遭受內部威脅。
角色定義詳細資料
下表將 Microsoft Purview 資料原則角色對應至 SQL 資料來源中的特定動作。
Microsoft Purview 原則角色 | 資料來源中的動作 |
---|---|
SQL 效能監視器 | Microsoft.Sql/Sqlservers/Connect |
Microsoft.Sql/Sqlservers/Databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
SQL 安全性稽核員 | Microsoft.Sql/Sqlservers/Connect |
Microsoft.Sql/Sqlservers/Databases/Connect | |
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
後續步驟
請查看下列部落格、影片和相關文章:
- 部落格:適用于Azure SQL Database 的 Microsoft Purview DevOps 原則現已正式推出
- 部落格: 管理 SQL 健康情況、效能和安全性資訊存取權的低成本解決方案
- 部落格:Microsoft Purview DevOps 原則可為 IT 作業啟用大規模存取布建
- 部落格: Microsoft Purview DevOps 原則 API 現已公開
- 影片: 原則的必要條件:[資料使用管理] 選項
- 影片: DevOps 原則的快速概觀
- 影片: 深入探討 DevOps 原則
- 文章: Microsoft Purview DevOps 原則概念指南
- 文章:已啟用 Azure Arc 的 Microsoft Purview DevOps 原則SQL Server
- 文章:Azure SQL資料庫上的 Microsoft Purview DevOps 原則
- 文章: 整個資源群組或訂用帳戶上的 Microsoft Purview DevOps 原則
- 文章: 針對 SQL 資料來源的 Microsoft Purview 原則進行疑難排解