다음을 통해 공유


Microsoft Purview 데이터 소유자 정책에 대한 개념(미리 보기)

중요

이 기능은 현재 미리 보기로 제공됩니다. Microsoft Azure Preview에 대한 추가 사용 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.

이 문서에서는 Microsoft Purview 거버넌스 포털 내에서 데이터 자산의 자산에 대한 읽기 또는 수정 액세스 관리와 관련된 개념을 설명합니다.

참고

이 기능은 Microsoft Purview 자체에 대한 액세스 제어를 제공하지 않습니다. Microsoft Purview 내부 역할에 대한 액세스 권한 부여는 Microsoft Purview의 액세스 제어에 설명되어 있습니다. 이 기능은 Azure Storage와 같은 데이터 시스템의 데이터 자체에 대한 액세스 권한을 데이터 평면에 부여하는 데 사용됩니다. 컨트롤 플레인 액세스 권한을 부여할 수 없습니다. 컨트롤 플레인 액세스는 구독에서 리소스를 관리하는 가시성 및 기능을 제공합니다. IAM(ID 및 액세스 관리)을 통해 컨트롤 플레인 액세스를 관리할 수 있습니다.

개요

Microsoft Purview의 액세스 정책을 사용하면 전체 데이터 자산에서 다양한 데이터 시스템에 대한 액세스를 관리할 수 있습니다. 예시:

사용자는 Microsoft Purview에 등록된 Azure Storage 계정에 대한 읽기 권한이 필요합니다. Microsoft Purview 거버넌스 포털의 데이터 정책 앱을 통해 데이터 액세스 정책을 만들어 Microsoft Purview에서 직접 이 액세스 권한을 부여할 수 있습니다.

데이터 소유자 정책은 데이터 원본 등록에서 데이터 정책 적용 옵션이 설정된 Microsoft Purview에서 정책 적용을 사용하도록 설정된 데이터 시스템에만 적용할 수 있습니다.

개념

데이터 소유자 정책

데이터 소유자 정책은 명명된 정책 문 집합입니다. Microsoft Purview의 거버넌스에 따라 하나 이상의 데이터 시스템에 정책을 게시하면 정책이 적용됩니다. 정책 정의에는 정책 이름, 설명 및 하나 이상의 정책 문 목록이 포함됩니다.

참고

현재 정책별로 단일 정책 문만 지원됩니다.

정책 설명

정책 문은 데이터 원본이 특정 데이터 액세스 작업을 처리하는 방법을 지시하는 사람이 읽을 수 있는 명령입니다. 정책 설명은 효과, 작업, 데이터 리소스주체로 구성됩니다.

작업

작업은 이 정책의 일부로 허용되거나 거부되는 작업입니다. 예: 읽기 또는 수정. 이러한 높은 수준의 논리 작업은 적용되는 데이터 시스템의 하나 이상의 데이터 작업에 매핑됩니다.

효과

이 효과는 데이터 리소스 및 정책 문의 제목에 일치하는 항목이 있는 경우 결과를 나타냅니다. 현재 지원되는 값은 Allow뿐입니다.

데이터 리소스

데이터 리소스는 정책 문이 적용되는 개체에 대한 정규화된 데이터 자산 경로입니다. 다음 형식을 따릅니다.

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Azure Storage 데이터 자산 경로 형식:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL DB data-asset-path 형식:

Microsoft.Sql/servers/<server-name>

제목

이 정책 설명이 적용되는 Microsoft Entra ID 최종 사용자 ID 목록입니다. 각 ID는 서비스 주체, 개별 사용자, 그룹 또는 MSI(관리 서비스 ID)일 수 있습니다.

예제

데이터 자산 읽기 허용: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData를 그룹 재무 분석가에게 허용

위의 정책 문에서 효과는 허용이고, 작업은 읽기이고, 데이터 리소스는 Azure Storage 컨테이너 FinData이고, 주제는 Microsoft Entra 그룹 Finance-analyst입니다. 이 그룹에 속한 사용자가 스토리지 컨테이너 FinData에서 데이터를 읽으려고 하면 요청이 허용됩니다.

정책의 계층적 적용

정책 문에 지정된 데이터 리소스는 기본적으로 계층 구조입니다. 즉, 정책 문은 데이터 개체 자체 및 데이터 개체에 포함된 모든 자식 개체에 적용됩니다. 예를 들어 Azure Storage 컨테이너의 정책 문은 해당 컨테이너에 포함된 모든 Blob에 적용됩니다.

정책 결합 알고리즘

데이터 원본은 해당하는 모든 로컬 정책을 Microsoft Purview의 모든 정책과 결합하고 사용자가 자산에 액세스하려고 할 때 통합된 결정을 제공합니다. 결합 전략은 가장 제한적인 정책을 선택합니다.

예를 들어 다음과 같이 Azure Storage 컨테이너 FinData 에서 두 가지 정책을 가정해 보겠습니다.

정책 1 - 데이터 자산 /subscription/..../containers/FinData에 대한 읽기를 허용하여 Finance-Analyst 그룹화

정책 2 - 데이터 자산에 대한 읽기 거부 /subscription/..../containers/FinData를 사용하여 Finance-contractors 그룹

그런 다음, Finance-AnalystFinance-contractors라는 두 그룹의 일부인 사용자 'user1'이 Blob 읽기 API에 대한 호출을 실행한다고 가정해 보겠습니다. 두 정책을 모두 적용할 수 있으므로 Azure Storage는 읽기 거부라는 가장 제한적인 정책을 선택합니다. 따라서 액세스 요청이 거부됩니다.

정책 게시

새로 만든 정책은 초안 모드 상태에 있으며 Microsoft Purview에서만 볼 수 있습니다. 게시 행위는 지정된 데이터 시스템에서 정책 적용을 시작합니다. 데이터 원본 형식에 따라 5분에서 2시간 정도 걸릴 수 있는 비동기 작업입니다. 자세한 내용은 데이터 소유자 정책 각 데이터 원본 형식과 관련된 방법 가이드를 참조하세요.

데이터 원본에 게시된 정책에는 다른 데이터 원본을 참조하는 정책 문이 포함될 수 있습니다. 해당 자산이 정책이 적용되는 데이터 원본에 없기 때문에 이러한 참조는 무시됩니다.

다음 단계

Microsoft Purview에서 특정 데이터 시스템에 적용되는 정책을 만드는 방법에 대한 가이드를 확인합니다. 이제 UI 외에도 데이터 소유자 정책 API를 사용해 볼 수 있습니다.