Microsoft Purview에서 여러 Azure 원본 검색 및 관리
이 문서에서는 여러 Azure 원본을 등록하는 방법과 Microsoft Purview에서 인증하고 상호 작용하는 방법을 간략하게 설명합니다. Microsoft Purview에 대한 자세한 내용은 소개 문서를 참조하세요.
지원되는 기능
메타데이터 추출 | 전체 검사 | 증분 검사 | 범위가 지정된 검사 | 분류 | 레이블 지정 | 액세스 정책 | 계보 | 데이터 공유 | 라이브 보기 |
---|---|---|---|---|---|---|---|---|---|
예 | 예 | 예 | 예 | 예 | 원본 종속 | 예 | 원본 종속 | 아니오 | 제한 |
필수 구성 요소
활성 구독이 있는 Azure 계정입니다. 무료로 계정을 만듭니다.
활성 Microsoft Purview 계정입니다.
원본을 등록하고 Microsoft Purview 거버넌스 포털에서 관리하려면 데이터 원본 관리자 및 데이터 읽기 권한자여야 합니다. 자세한 내용은 Microsoft Purview 권한 페이지를 참조하세요.
등록
이 섹션에서는 Microsoft Purview 거버넌스 포털을 사용하여 Microsoft Purview에서 여러 Azure 원본을 등록하는 방법을 설명합니다.
등록을 위한 필수 구성 요소
Microsoft Purview는 구독 또는 리소스 그룹 아래에 리소스를 나열할 수 있는 권한이 필요합니다.
- Azure Portal 구독 또는 리소스 그룹으로 이동합니다.
- 왼쪽 메뉴에서 Access Control(IAM)를 선택합니다.
- +추가를 선택합니다.
- 입력 선택 상자에서 읽기 권한자 역할을 선택하고 Microsoft Purview 계정 이름(MSI 파일 이름을 나타낸)을 입력합니다.
- 저장을 선택하여 역할 할당을 완료합니다. 이렇게 하면 Microsoft Purview가 구독 또는 리소스 그룹 아래에 리소스를 나열할 수 있습니다.
등록 인증
Azure에서 여러 원본에 대한 인증을 설정하는 방법에는 두 가지가 있습니다.
- 관리 ID
- 서비스 사용자
등록하고 검사하려는 구독 또는 리소스 그룹 내의 각 리소스에 대해 인증을 설정해야 합니다. Azure Storage 리소스 유형(Azure Blob Storage 및 Azure Data Lake Storage Gen2)을 사용하면 구독 또는 리소스 그룹 수준에서 MSI 파일 또는 서비스 주체를 스토리지 Blob 데이터 판독기로 쉽게 추가할 수 있습니다. 그런 다음 권한은 해당 구독 또는 리소스 그룹 내의 각 스토리지 계정으로 흘러내려가게 됩니다. 다른 모든 리소스 유형의 경우 각 리소스에 MSI 파일 또는 서비스 주체를 적용하거나 스크립트를 만들어야 합니다.
구독 또는 리소스 그룹 내의 각 리소스 종류에 대한 권한을 추가하는 방법을 알아보려면 다음 리소스를 참조하세요.
- Azure Blob 저장소
- Azure Data Explorer
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure Dedicated SQL 풀(이전 SQL DW)
- Azure SQL 데이터베이스
- Azure SQL Managed Instance
- Azure Synapse Analytics
등록 단계
다음을 통해 Microsoft Purview 거버넌스 포털을 엽니다.
- Microsoft Purview 계정을 직접 https://web.purview.azure.com 탐색하고 선택합니다.
- Azure Portal 열고 Microsoft Purview 계정을 검색하고 선택합니다. Microsoft Purview 거버넌스 포털 단추를 선택합니다.
왼쪽 메뉴에서 데이터 맵 을 선택합니다.
등록을 선택하세요.
원본 등록에서 Azure(다중)를 선택합니다.
계속을 선택합니다.
원본 등록(Azure) 화면에서 다음을 수행합니다.
이름 상자에 데이터 원본이 카탈로그에 나열될 이름을 입력합니다.
관리 그룹 상자에서 필요에 따라 필터링할 관리 그룹을 선택합니다.
구독 및 리소스 그룹 드롭다운 목록 상자에서 각각 구독 또는 특정 리소스 그룹을 선택합니다. 등록 scope 선택한 구독 또는 리소스 그룹으로 설정됩니다.
목록에서 컬렉션을 선택합니다.
등록을 선택하여 데이터 원본을 등록합니다.
검사
중요
현재 여러 Azure 원본 검사는 Azure 통합 런타임을 사용하는 경우에만 지원되므로 방화벽에서 공용 액세스를 허용하는 Microsoft Purview 계정만 이 옵션을 사용할 수 있습니다.
아래 단계에 따라 여러 Azure 원본을 검사하여 자산을 자동으로 식별하고 데이터를 분류합니다. 일반적인 검사에 대한 자세한 내용은 검사 및 수집 소개를 참조하세요.
검사 만들기 및 실행
새 검사를 만들고 실행하려면 다음을 수행합니다.
Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택합니다.
등록한 데이터 원본을 선택합니다.
세부 정보> 보기+ 새 검사를 선택하거나 원본 타일에서 빠른 작업 검색 아이콘을 사용합니다.
이름에 이름을 입력합니다.
형식에서 이 원본 내에서 검사할 리소스 유형을 선택합니다. 다음 옵션 중 하나를 선택합니다.
- 모두로 둡니다. 이 선택 항목에는 해당 구독 또는 리소스 그룹 내에 현재 존재하지 않을 수 있는 향후 리소스 유형이 포함됩니다.
- 상자를 사용하여 검사할 리소스 유형을 구체적으로 선택합니다. 이 옵션을 선택하는 경우 나중에 검색을 명시적으로 편집하지 않는 한 이 구독 또는 리소스 그룹 내에서 만들 수 있는 향후 리소스 유형은 검색에 포함되지 않습니다.
자격 증명을 선택하여 데이터 원본 내의 리소스에 연결합니다.
- 부모 수준에서 자격 증명을 MSI 파일로 선택하거나 특정 서비스 주체 유형에 대한 자격 증명을 선택할 수 있습니다. 그런 다음 구독 또는 리소스 그룹의 모든 리소스 유형에 해당 자격 증명을 사용할 수 있습니다.
- 특히 리소스 유형을 선택하고 해당 리소스 종류에 대해 다른 자격 증명을 적용할 수 있습니다.
각 자격 증명은 특정 형식의 모든 리소스에 대한 인증 방법으로 간주됩니다. 이 문서의 앞부분에서 설명한 대로 리소스를 성공적으로 검사하려면 선택한 자격 증명을 리소스에 설정해야 합니다.
각 형식 내에서 모든 리소스를 검사하거나 이름으로 해당 리소스의 하위 집합을 검사하도록 선택할 수 있습니다.
- 옵션을 모두로 두면 향후 검사 실행에서 해당 유형의 향후 리소스도 검사됩니다.
- 특정 스토리지 계정 또는 SQL 데이터베이스를 선택하는 경우 나중에 검사가 명시적으로 편집되지 않는 한 이 구독 또는 리소스 그룹 내에서 만든 해당 유형의 향후 리소스는 검색에 포함되지 않습니다.
연결 테스트를 선택합니다. 그러면 먼저 Microsoft Purview MSI 파일을 구독 또는 리소스 그룹에 읽기 권한자로 적용한 경우 검사 대한 액세스를 테스트합니다. 오류 메시지가 표시되면 다음 지침에 따라 resolve. 그런 다음 선택한 각 원본에 대한 인증 및 연결을 테스트하고 보고서를 생성합니다. 선택한 원본 수는 이 보고서를 생성하는 데 걸리는 시간에 영향을 줍니다. 일부 리소스에서 실패한 경우 X 아이콘 위로 마우스를 가져가면 자세한 오류 메시지가 표시됩니다.
테스트 연결이 통과된 후 계속 을 선택하여 계속합니다.
이전 단계에서 선택한 각 리소스 종류에 대한 검사 규칙 집합을 선택합니다. 인라인으로 검사 규칙 집합을 만들 수도 있습니다.
검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.
검사를 검토하고 저장 을 선택하여 설정을 완료합니다.
검사 및 검사 실행 보기
데이터 맵 섹션 아래의 타일에서 세부 정보 보기를 선택하여 원본 세부 정보를 봅니다.
검색 세부 정보 페이지로 이동하여 검사 실행 세부 정보를 봅니다.
상태 막대는 자식 리소스의 실행 중인 상태 대한 간략한 요약입니다. 구독 수준 또는 리소스 그룹 수준에 표시됩니다. 색은 다음과 같은 의미를 갖습니다.
- 녹색: 스캔에 성공했습니다.
- 빨간색: 검사에 실패했습니다.
- 회색: 검사가 아직 진행 중입니다.
각 검사를 선택하여 세부 정보를 볼 수 있습니다.
원본 세부 정보의 맨 아래에서 최근 실패한 검사 실행에 대한 요약을 봅니다. 이러한 실행에 대한 보다 세부적인 세부 정보를 볼 수도 있습니다.
검사 관리: 편집, 삭제 또는 취소
검사를 관리하려면 다음을 수행합니다.
관리 센터로 이동합니다.
원본 및 검사 섹션에서 데이터 원본을 선택한 다음 원하는 데이터 원본을 선택합니다.
관리하려는 검사를 선택합니다. 그런 다음 다음을 수행합니다.
- 편집을 선택하여 검사를 편집할 수 있습니다.
- 삭제를 선택하여 검사를 삭제할 수 있습니다.
- 검사가 실행 중인 경우 취소를 선택하여 취소할 수 있습니다.
정책
Microsoft Purview의 이 데이터 리소스에서 지원되는 정책 유형은 다음과 같습니다.
Azure Storage 계정의 액세스 정책 필수 구성 요소
Microsoft Purview에서 정책을 적용하려면 먼저 리소스 그룹 또는 구독 아래의 데이터 원본을 구성해야 합니다. 지침은 데이터 원본 형식에 따라 달라집니다. Microsoft Purview 정책을 지원하는지 여부와 Microsoft Purview 커넥터 문서의 액세스 정책 링크 아래에서 사용하도록 설정하는 특정 지침을 검토하세요.
정책에 대한 Microsoft Purview 계정 구성
Microsoft Purview에서 데이터 원본 등록
데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.
참고
Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.
데이터 원본에 대한 데이터 정책 적용을 사용하도록 권한 구성
리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 정책 적용을 사용하도록 설정하려면 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 정책 적용을 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.
리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.
- IAM 소유자
- IAM 기여자와 IAM 사용자 액세스 관리자 모두
Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.
참고
데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Microsoft Entra 확인합니다.
또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.
다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.
액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성
정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.
- 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
- 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.
Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.
참고
정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.
또한 정책의 주제를 만들거나 업데이트할 때 Microsoft Entra 사용자 또는 그룹을 쉽게 검색하려면 Microsoft Entra ID 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.
데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성
데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.
데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.
Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.
참고
데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.
Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임
데이터 정책 적용을 위해 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.
참고
모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션 의 데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.
게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.
데이터 정책 적용을 위해 Microsoft Purview에 데이터 원본 등록
액세스 정책을 만들려면 먼저 Azure 구독 또는 리소스 그룹을 Microsoft Purview에 등록해야 합니다. 리소스를 등록하려면 이 가이드의 필수 구성 요소 및 등록 섹션을 따릅니다.
데이터 리소스를 등록한 후에는 데이터 정책 적용을 사용하도록 설정해야 합니다. 데이터 리소스에 대한 정책을 만들려면 필수 구성 요소입니다. 데이터 정책 적용은 데이터 원본에 대한 액세스를 관리하는 특정 Microsoft Purview 역할에 위임하므로 데이터의 보안에 영향을 미칠 수 있습니다. 이 가이드: 데이터 정책 적용을 사용하도록 설정하는 방법 가이드에서 데이터 정책 적용과 관련된 보안 사례를 살펴봅니다.
데이터 원본에 데이터 정책 적용 옵션이 사용으로 설정되면 이 스크린샷과 같이 표시됩니다
정책 만들기
전체 Azure 구독 또는 리소스 그룹에 액세스 정책을 만들려면 다음 가이드를 따릅니다.
다음 단계
원본을 등록했으므로 아래 가이드에 따라 Microsoft Purview 및 데이터에 대해 자세히 알아보세요.