Microsoft Purview 원본에서 데이터 정책 적용 사용

데이터 정책 적용 은 Microsoft Purview의 데이터 원본 등록 내에서 옵션입니다. 이 옵션을 사용하면 Microsoft Purview에서 리소스에 대한 데이터 액세스를 관리할 수 있습니다. 개략적인 개념은 데이터 소유자가 데이터 정책 적용을 사용하도록 설정하여 해당 데이터 리소스를 액세스 정책에 사용할 수 있도록 허용한다는 것입니다.

현재 데이터 소유자는 데이터 리소스에서 데이터 정책 적용을 사용하도록 설정하여 이러한 유형의 액세스 정책에 사용할 수 있습니다.

• DevOps 정책
• 데이터 소유자 액세스 정책
• 셀프 서비스 액세스 정책 - 셀프 서비스 액세스 요청 이 승인된 후 Microsoft Purview에서 자동으로 생성된 액세스 정책입니다.
• 보호 정책

리소스에 대한 데이터 정책을 만들려면 먼저 해당 리소스에서 데이터 정책 적용을 사용하도록 설정해야 합니다. 이 문서에서는 Microsoft Purview에서 리소스에 대한 데이터 정책 적용을 사용하도록 설정하는 방법을 설명합니다.

필수 구성 요소

Microsoft Purview에서 데이터 원본 등록

데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.

데이터 원본에 대한 데이터 정책 적용을 사용하도록 권한 구성

리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 정책 적용을 사용하도록 설정하려면 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 정책 적용을 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.

• 리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.

  • IAM 소유자
  • IAM 기여자와 IAM 사용자 액세스 관리자 모두

  Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.

  

  참고

  데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Microsoft Entra 확인합니다.

• 또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.

  다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.

  

액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성

정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.

• 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
• 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

또한 정책의 주제를 만들거나 업데이트할 때 Microsoft Entra 사용자 또는 그룹을 쉽게 검색하려면 Microsoft Entra ID 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.

데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성

데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임

데이터 정책 적용을 위해 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.

게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.

데이터 정책 적용 사용

리소스에 대한 데이터 정책 적용 을 사용하도록 설정하려면 먼저 리소스를 Microsoft Purview에 등록해야 합니다. 리소스를 등록하려면 리소스에 대한 원본 페이지의필수 구성 요소 및 등록 섹션을 따릅니다.

리소스가 등록되면 나머지 단계에 따라 데이터 정책 적용을 위해 개별 리소스를 사용하도록 설정합니다.

클래식 Microsoft Purview 거버넌스 포털에서

1. 클래식 Microsoft Purview 거버넌스 포털로 이동합니다.

2. 왼쪽 메뉴에서 데이터 맵 탭을 선택합니다.

3. 왼쪽 메뉴에서 원본 탭을 선택합니다.

4. 데이터 정책 적용을 사용하도록 설정할 원본을 선택합니다.

5. 원본 페이지의 맨 위에서 원본 편집을 선택합니다.

6. 아래 이미지와 같이 데이터 정책 적용 토글을 사용으로 설정합니다.

새 Microsoft Purview 포털에서

1. 새 Microsoft Purview 포털로 이동합니다.

2. 왼쪽 메뉴에서 데이터 맵 탭을 선택합니다.

3. 왼쪽 메뉴에서 데이터 원본 탭을 선택합니다.

4. 데이터 정책 적용을 사용하도록 설정할 원본을 선택합니다.

5. 아래 이미지와 같이 데이터 정책 적용 토글을 켜기로 설정합니다.

데이터 정책 적용 사용 안 함

원본, 리소스 그룹 또는 구독에 대한 데이터 정책 적용을 사용하지 않도록 설정하려면 사용자가 리소스 IAM 소유자 또는 Microsoft Purview 데이터 원본 관리자여야 합니다. 이러한 권한이 있으면 다음 단계를 수행합니다.

클래식 Microsoft Purview 거버넌스 포털에서

1. Microsoft Purview 거버넌스 포털로 이동합니다.

2. 왼쪽 메뉴에서 데이터 맵 탭을 선택합니다.

3. 왼쪽 메뉴에서 원본 탭을 선택합니다.

4. 데이터 정책 적용을 사용하지 않도록 설정할 원본을 선택합니다.

5. 원본 페이지의 맨 위에서 원본 편집을 선택합니다.

6. 데이터 정책 적용 토글을 사용 안 함으로 설정합니다.

새 Microsoft Purview 포털에서

1. 새 Microsoft Purview 포털로 이동합니다.

2. 왼쪽 메뉴에서 데이터 맵 탭을 선택합니다.

3. 왼쪽 메뉴에서 원본 탭을 선택합니다.

4. 데이터 정책 적용을 사용하지 않도록 설정할 원본을 선택합니다.

5. 데이터 정책 적용 토글을 끄기로 설정합니다.

데이터 정책 적용과 관련된 추가 고려 사항

• Microsoft Purview에 등록할 때 사용하는 이름을 적어 두세요. 정책을 게시할 때 필요합니다. 등록된 이름을 엔드포인트 이름과 정확히 동일하게 만드는 것이 좋습니다.
• 데이터 정책 적용을 위해 원본을 사용하지 않도록 설정하려면 먼저 해당 데이터 원본에 게시된 정책을 제거해야 합니다.
• 데이터 정책 적용을 위해 원본을 사용하도록 설정하려면 데이터 원본 소유자와 Microsoft Purview 데이터 원본 관리자가 모두 있어야 하지만 컬렉션의 모든 데이터 원본 관리자는 이를 사용하지 않도록 설정할 수 있습니다.
• 구독에 대한 데이터 정책 적용 을 사용하지 않도록 설정하면 해당 구독에 등록된 모든 자산에도 사용하지 않도록 설정됩니다.

데이터 정책 적용 모범 사례

• 데이터 정책 적용을 위해 데이터 원본을 등록하고 단일 Microsoft Purview 계정에서 연결된 모든 액세스 정책을 관리하는 것이 좋습니다.
• 여러 Microsoft Purview 계정이 있는 경우 구독에 속한 모든 데이터 원본은 단일 Microsoft Purview 계정에서 데이터 정책 적용 을 위해 등록되어야 합니다. 해당 Microsoft Purview 계정은 테넌트에서 모든 구독에 있을 수 있습니다. 잘못된 구성이 있는 경우 데이터 정책 적용 토글이 회색으로 표시됩니다. 유효하고 잘못된 구성의 몇 가지 예는 아래 다이어그램에 있습니다.
  • 사례 1 은 스토리지 계정이 동일한 구독의 Microsoft Purview 계정에 등록된 유효한 구성을 보여 줍니다.
  • 사례 2 는 스토리지 계정이 다른 구독의 Microsoft Purview 계정에 등록된 유효한 구성을 보여 줍니다.
  • 사례 3 은 스토리지 계정 S3SA1 및 S3SA2가 모두 구독 3에 속하지만 다른 Microsoft Purview 계정에 등록되어 있기 때문에 발생하는 잘못된 구성을 보여 줍니다. 이 경우 데이터 정책 적용 토글은 먼저 해당 구독에서 데이터 원본을 획득하고 등록하는 Microsoft Purview 계정에서만 사용하도록 설정합니다. 그러면 토글이 다른 데이터 원본에 대해 회색으로 표시됩니다.
• 데이터 정책 적용 토글이 회색으로 표시되고 사용하도록 설정할 수 없는 경우 데이터 리소스를 먼저 등록한 Microsoft Purview 계정의 이름을 확인하려면 해당 토글을 마우스로 가리킵니다.

다음 단계

• 리소스에 대한 데이터 소유자 정책 만들기
• 구독 또는 리소스 그룹의 모든 데이터 원본에서 Microsoft Purview 데이터 소유자 정책 사용
• Azure Storage 계정에서 Microsoft Purview 데이터 소유자 정책 사용