Partager via


Provisionner l’accès en lecture à SQL Server 2022 avec Azure Arc à l’aide de stratégies de propriétaire de données Microsoft Purview (préversion)

Importante

Cette fonctionnalité est actuellement en préversion. Les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Les stratégies de propriétaire de données sont un type de stratégies d’accès Microsoft Purview. Ils vous permettent de gérer l’accès aux données utilisateur dans des sources qui ont été inscrites pour l’application de la stratégie de données dans Microsoft Purview. Ces stratégies peuvent être créées directement dans le portail de gouvernance Microsoft Purview et, après la publication, elles sont appliquées par la source de données.

Ce guide explique comment un propriétaire de données peut déléguer des stratégies de création dans Microsoft Purview pour permettre l’accès aux SQL Server avec Azure Arc. Les actions suivantes sont actuellement activées : Lecture. Cette action est uniquement prise en charge pour les stratégies au niveau du serveur. La modification n’est pas prise en charge à ce stade.

Configuration requise

Prise en charge des régions

L’application de la stratégie de données est disponible dans toutes les régions Microsoft Purview, à l’exception des suivantes :

  • USA Ouest 2
  • Asie Est
  • USA Gov Virginie
  • Chine Nord 3

Considérations relatives à la sécurité pour les SQL Server avec Azure Arc

  • L’administrateur du serveur peut désactiver l’application de la stratégie Microsoft Purview.
  • Les autorisations d’administrateur et d’administrateur de serveur Azure Arc permettent de modifier le chemin d’accès Resource Manager Azure du serveur. Étant donné que les mappages dans Microsoft Purview utilisent des chemins d’accès Resource Manager, ils peuvent entraîner des applications de stratégie incorrectes.
  • Un administrateur SQL Server (administrateur de base de données) peut obtenir la puissance d’un administrateur de serveur et falsifier les stratégies mises en cache à partir de Microsoft Purview.
  • La configuration recommandée consiste à créer une inscription d’application distincte pour chaque serveur SQL server instance. Cette configuration empêche le deuxième SQL Server instance de lire les stratégies destinées à la première SQL Server instance, au cas où un administrateur non autorisé dans la deuxième SQL Server instance falsifie le chemin d’Resource Manager.

Vérifier les conditions préalables

  1. Connectez-vous au Portail Azure via ce lien

  2. Accédez à Serveurs SQL dans le volet gauche. Vous verrez une liste d’instances SQL Server sur Azure Arc.

  3. Sélectionnez le SQL Server instance que vous souhaitez configurer.

  4. Accédez à Microsoft Entra ID dans le volet gauche.

  5. Vérifiez que Microsoft Entra’authentification est configurée avec une connexion d’administrateur. Si ce n’est pas le cas, reportez-vous à la section Conditions préalables de la stratégie d’accès dans ce guide.

  6. Vérifiez qu’un certificat a été fourni pour SQL Server s’authentifier auprès d’Azure. Si ce n’est pas le cas, reportez-vous à la section Conditions préalables de la stratégie d’accès dans ce guide.

  7. Vérifiez qu’une inscription d’application a été entrée pour créer une relation d’approbation entre SQL Server et Microsoft Entra ID. Si ce n’est pas le cas, reportez-vous à la section Conditions préalables de la stratégie d’accès dans ce guide.

  8. Si vous avez apporté des modifications, sélectionnez le bouton Enregistrer pour enregistrer la configuration et attendez que l’opération se termine correctement. Cela peut prendre quelques minutes. Le message « Enregistré avec succès » s’affiche en haut de la page en arrière-plan vert. Vous devrez peut-être faire défiler vers le haut pour le voir.

Configuration de Microsoft Purview

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

  • Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

    • Propriétaire IAM
    • Contributeur IAM et Administrateur de l’accès utilisateur IAM

    Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

    Capture d’écran montrant la section dans le Portail Azure pour ajouter une attribution de rôle.

    Remarque

    Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

  • Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

    La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

    Capture d’écran montrant les sélections pour l’attribution du rôle d’administrateur de source de données au niveau de la collection racine.

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

  • Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
  • Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire des sources de données dans Microsoft Purview

Inscrivez chaque source de données auprès de Microsoft Purview pour définir ultérieurement des stratégies d’accès.

  1. Connectez-vous à Microsoft Purview Studio.

  2. Accédez à la fonctionnalité Mappage de données dans le volet gauche, sélectionnez Sources, puis Inscrire. Tapez « Azure Arc » dans la zone de recherche et sélectionnez SQL Server sur Azure Arc. Sélectionnez ensuite Continuer.

    Capture d’écran montrant comment sélectionner une source pour l’inscription.

  3. Entrez un Nom pour cette inscription. Il est recommandé de rendre le nom de l’inscription identique au nom du serveur à l’étape suivante.

  4. Sélectionnez un abonnement Azure, un nom de serveur et un point de terminaison de serveur.

  5. Sélectionnez une collection dans laquelle placer cette inscription.

  6. Activer l’application de la stratégie de données. L’application de la stratégie de données a besoin de certaines autorisations et peut affecter la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview pour gérer l’accès aux sources de données. Passez en revue les pratiques sécurisées liées à l’application de la stratégie de données dans ce guide : Comment activer l’application de la stratégie de données

  7. Sélectionnez Inscrire ou Appliquer en bas.

Une fois que votre source de données a le bouton bascule Application de la stratégie de données Activé, elle ressemble à cette image.

Capture d’écran montrant comment inscrire une source de données pour la stratégie.

Activer les stratégies dans les SQL Server avec Azure Arc

Cette section décrit les étapes à suivre pour configurer SQL Server sur Azure Arc afin d’utiliser Microsoft Purview. Exécutez ces étapes après avoir activé l’option d’application de la stratégie de données pour cette source de données dans le compte Microsoft Purview.

  1. Connectez-vous au Portail Azure via ce lien

  2. Accédez à Serveurs SQL dans le volet gauche. Vous verrez une liste d’instances SQL Server sur Azure Arc.

  3. Sélectionnez le SQL Server instance que vous souhaitez configurer.

  4. Accédez à Microsoft Entra ID dans le volet gauche.

  5. Faites défiler jusqu’à Stratégies d’accès Microsoft Purview.

  6. Sélectionnez le bouton Pour vérifier la gouvernance Microsoft Purview. Patientez pendant le traitement de la demande. Pendant que cela se produit, ce message s’affiche en haut de la page. Vous devrez peut-être faire défiler vers le haut pour le voir.

    Capture d’écran montrant que l’agent Arc-SQL traite une requête

  7. En bas de la page, vérifiez que l’état de gouvernance de Microsoft Purview affiche Governed. Notez que la réflexion des status correctes peut prendre jusqu’à 30 minutes. Continuez à actualiser le navigateur jusqu’à ce que cela se produise.

  8. Vérifiez que le point de terminaison Microsoft Purview pointe vers le compte Microsoft Purview dans lequel vous avez inscrit cette source de données et activé l’application de la stratégie de données

Créer et publier une stratégie de propriétaire des données

Exécutez les étapes décrites dans les sections Créer une stratégie et Publier une stratégie du didacticiel de création de stratégie de propriétaire de données. Le résultat est une stratégie de propriétaire de données similaire à l’exemple :

Exemple : Stratégie de lecture. Cette stratégie affecte l’Microsoft Entra principal « sg-Finance » à l’action lecteur de données SQL, dans l’étendue de SQL Server DESKTOP-xxx. Cette stratégie a également été publiée sur ce serveur. Notez que les stratégies liées à cette action ne sont pas prises en charge au niveau du serveur.

Capture d’écran montrant un exemple de stratégie de propriétaire de données donnant accès à un lecteur de données Azure SQL Database.

Remarque

  • Étant donné que l’analyse n’est actuellement pas disponible pour cette source de données, les stratégies de lecteur de données peuvent uniquement être créées au niveau du serveur. Utilisez la zone Sources de données au lieu de la zone Ressource lors de la création de la partie des ressources de données de la stratégie.
  • Il existe un problème connu avec SQL Server Management Studio qui empêche de cliquer avec le bouton droit sur une table et de choisir l’option « Sélectionner les 1000 premières lignes ».

Importante

  • La publication est une opération en arrière-plan. Jusqu’à 5 minutes peuvent être nécessaires pour que les modifications soient reflétées dans cette source de données.
  • La modification d’une stratégie ne nécessite pas de nouvelle opération de publication. Les modifications seront récupérées lors de la prochaine extraction.

Annuler la publication d’une stratégie de propriétaire de données

Suivez ce lien pour connaître les étapes permettant d’annuler la publication d’une stratégie de propriétaire de données dans Microsoft Purview.

Mettre à jour ou supprimer une stratégie de propriétaire de données

Suivez ce lien pour connaître les étapes de mise à jour ou de suppression d’une stratégie de propriétaire de données dans Microsoft Purview.

Tester la stratégie

Une fois la stratégie publiée et communiquée à la source de données, l’un des utilisateurs Microsoft Entra dans l’objet doit être en mesure de se connecter et d’exécuter une requête qui cible les ressources auxquelles la stratégie a accordé l’accès. Pour tester, utilisez SSMS ou n’importe quel client SQL et essayez d’interroger. Par exemple, essayez d’accéder à une table SQL à laquelle vous avez fourni un accès en lecture.

Si vous avez besoin d’un dépannage supplémentaire, consultez la section Étapes suivantes de ce guide.

Détails de la définition de rôle

Cette section contient une référence sur la façon dont les rôles de stratégie de données Microsoft Purview pertinents sont mappés à des actions spécifiques dans des sources de données SQL.

Définition de rôle de stratégie Microsoft Purview Actions spécifiques à la source de données
Lire Microsoft.Sql/sqlservers/Connect
Microsoft.Sql/sqlservers/databases/Connect
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows

Étapes suivantes

Consultez le blog, la démonstration et les guides pratiques associés