다음을 통해 공유


Microsoft Purview에서 Azure SQL Database 검색 및 관리

이 문서에서는 Microsoft Purview에서 Azure SQL 데이터베이스 원본을 등록하는 프로세스를 간략하게 설명합니다. 여기에는 SQL 데이터베이스를 인증하고 상호 작용하는 지침이 포함되어 있습니다.

지원되는 기능

메타데이터 추출 전체 검사 증분 검사 범위가 지정된 검사 분류 레이블 지정 액세스 정책 계보 데이터 공유 라이브 보기
예(미리 보기) 예(미리 보기) 아니오

Azure SQL 데이터베이스를 검사할 때 Microsoft Purview는 다음 원본에서 기술 메타데이터 추출을 지원합니다.

  • 서버
  • Database
  • 스키마
  • 열을 포함한 테이블
  • 열을 포함한 뷰(계보 추출이 사용하도록 설정됨, 검사의 일부로)
  • 저장 프로시저(계보 추출 사용)
  • 저장 프로시저 실행(계보 추출 사용)

검사를 설정할 때 필요에 따라 테이블 및 뷰를 선택하여 데이터베이스 이름을 제공한 후 추가로 scope 수 있습니다.

알려진 제한

  • 저장 프로시저 계보 추출의 경우:
    • Azure의 논리 서버가 공용 액세스를 사용하지 않도록 설정하거나 Azure 서비스에서 액세스하도록 허용하지 않는 경우 SP(저장 프로시저) 계보 추출 검사는 현재 지원되지 않습니다.
    • Microsoft Purview 계정이 공용 액세스를 사용하지 않도록 설정하는 경우 SP 계보 추출 검사는 현재 지원되지 않습니다.
    • SP 계보 추출 검사는 기본적으로 6시간마다 실행되도록 예약되어 있습니다. 빈도는 변경할 수 없습니다.
    • 계보는 저장 프로시저 실행이 한 테이블에서 다른 테이블로 데이터를 전송하는 경우에만 캡처됩니다. 임시 테이블에는 지원되지 않습니다.
    • 계보 추출은 함수 또는 트리거에 대해 지원되지 않습니다.
    • 다음과 같은 제한 사항으로 인해 현재 이러한 시나리오가 있는 경우 카탈로그에서 중복 자산을 볼 수 있습니다.
      • 자산 및 정규화된 이름의 개체 이름은 저장 프로시저 문에 사용된 사례를 따르며, 이는 원래 데이터 원본의 개체 사례와 일치하지 않을 수 있습니다.
      • SQL 뷰가 저장 프로시저에서 참조되면 현재 SQL 테이블로 캡처됩니다.

참고

Azure SQL 테이블 또는 뷰가 복사 및 Data Flow 작업에서 원본/싱크로 사용되는 경우에도 Azure Data Factory 계보가 지원됩니다.

필수 구성 요소

데이터 원본 등록

검사하기 전에 Microsoft Purview에 데이터 원본을 등록하는 것이 중요합니다.

  1. 다음을 통해 Microsoft Purview 거버넌스 포털을 엽니다.

  2. 데이터 맵으로 이동합니다.

    Microsoft Purview 거버넌스 포털을 여는 영역을 보여 주는 스크린샷

  3. 컬렉션으로 이동하고 컬렉션 추가를 선택하여 컬렉션계층 구조를 만듭니다. 필요에 따라 개별 하위 컬렉션에 권한을 할당합니다.

    컬렉션 계층에 액세스 제어 권한을 할당하기 위한 선택 항목을 보여 주는 스크린샷

  4. 원본에서 적절한 컬렉션으로 이동한 다음 등록 아이콘을 선택하여 새 SQL 데이터베이스를 등록합니다.

    데이터 원본을 등록하는 데 사용되는 컬렉션을 보여 주는 스크린샷

  5. Azure SQL 데이터베이스 데이터 원본을 선택한 다음, 계속을 선택합니다.

  6. 이름에 데이터 원본에 적합한 이름을 제공합니다. Azure 구독, 서버 이름컬렉션 선택에 대한 관련 이름을 선택한 다음 적용을 선택합니다.

    데이터 원본을 등록하기 위해 입력한 세부 정보를 보여 주는 스크린샷

  7. 선택한 컬렉션 아래에 SQL 데이터베이스가 표시되는지 확인합니다.

    검사를 시작하기 위해 컬렉션에 매핑된 데이터 원본을 보여 주는 스크린샷

방화벽 설정 업데이트

데이터베이스 서버에 방화벽이 사용하도록 설정된 경우 다음 방법 중 하나로 액세스를 허용하도록 방화벽을 업데이트해야 합니다.

방화벽에 대한 자세한 내용은 Azure SQL Database 방화벽 설명서를 참조하세요.

Azure 연결 허용

Azure 연결을 사용하도록 설정하면 방화벽 자체를 업데이트할 필요 없이 Microsoft Purview가 서버에 연결할 수 있습니다.

  1. 데이터베이스 계정으로 이동합니다.
  2. 개요 페이지에서 서버 이름을 선택합니다.
  3. 보안>네트워킹을 선택합니다.
  4. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에서예를 선택합니다.

서버에 대한 Azure 연결을 허용하는 Azure Portal 선택 항목을 보여 주는 스크린샷

Azure 내에서 연결을 허용하는 방법에 대한 자세한 내용은 방법 가이드를 참조하세요.

자체 호스팅 통합 런타임 설치

컴퓨터에 자체 호스팅 통합 런타임을 설치하여 프라이빗 네트워크의 리소스와 연결할 수 있습니다.

  1. 시나리오에 적합한 통합 런타임 선택
  2. 통합 런타임을 만들고 설치합니다.
  3. 데이터베이스 서버의 네트워킹 구성을 확인하여 자체 호스팅 통합 런타임이 포함된 컴퓨터에서 프라이빗 엔드포인트에 액세스할 수 있는지 확인합니다. 아직 액세스할 수 없는 경우 컴퓨터의 IP 주소를 추가합니다.
  4. 논리 서버가 프라이빗 엔드포인트 뒤에 있거나 가상 네트워크에 있는 경우 수집 프라이빗 엔드포인트를 사용하여 엔드 투 엔드 네트워크 격리를 보장할 수 있습니다.

검사에 대한 인증 구성

데이터 원본을 검사하려면 Azure SQL Database에서 인증 방법을 구성해야 합니다.

중요

자체 호스팅 통합 런타임을 사용하여 리소스에 연결하는 경우 시스템 할당 및 사용자 할당 관리 ID가 작동하지 않습니다. 서비스 주체 인증 또는 SQL 인증을 사용해야 합니다.

Microsoft Purview는 다음 옵션을 지원합니다.

  • SAMI(시스템 할당 관리 ID)(권장) Microsoft Purview 계정과 직접 연결된 ID입니다. 이를 통해 사용자 또는 자격 증명 집합을 관리할 필요 없이 다른 Azure 리소스로 직접 인증할 수 있습니다.

    SAMI는 Microsoft Purview 리소스를 만들 때 만들어집니다. Azure에서 관리되며 Microsoft Purview 계정의 이름을 사용합니다. SAMI는 현재 Azure SQL 대한 자체 호스팅 통합 런타임과 함께 사용할 수 없습니다.

    자세한 내용은 관리 ID 개요를 참조하세요.

  • UAMI(사용자 할당 관리 ID)( 미리 보기). SAMI와 마찬가지로 UAMI는 Microsoft Purview가 Microsoft Entra ID 대해 인증할 수 있는 자격 증명 리소스입니다.

    UAMI는 Azure 자체가 아닌 Azure의 사용자가 관리하므로 보안을 보다 세밀하게 제어할 수 있습니다. UAMI는 현재 Azure SQL 대한 자체 호스팅 통합 런타임과 함께 사용할 수 없습니다.

    자세한 내용은 사용자 할당 관리 ID 가이드를 참조하세요.

  • 서비스 주체. 서비스 주체는 사용자와 직접 연결하지 않고 다른 그룹 또는 사용자와 같은 권한을 할당할 수 있는 애플리케이션입니다. 서비스 주체에 대한 인증에는 만료 날짜가 있으므로 임시 프로젝트에 유용할 수 있습니다.

    자세한 내용은 서비스 주체 설명서를 참조하세요.

  • SQL 인증. 사용자 이름 및 암호를 사용하여 SQL 데이터베이스에 연결합니다. 자세한 내용은 SQL 인증 설명서를 참조하세요.

    로그인을 만들어야 하는 경우 이 가이드에 따라 SQL 데이터베이스를 쿼리합니다. 이 가이드를 사용하여 T-SQL을 사용하여 로그인을 만듭니다.

    참고

    페이지에서 Azure SQL 데이터베이스 옵션을 선택해야 합니다.

SQL 데이터베이스를 사용하여 인증하는 단계는 다음 탭에서 선택한 인증 방법을 선택합니다.

참고

서버 수준 보안 주체 로그인(프로비저닝 프로세스에서 생성됨) 또는 master 데이터베이스의 loginmanager 데이터베이스 역할 멤버만 새 로그인을 만들 수 있습니다. Microsoft Purview 계정은 권한을 받은 후 약 15분 후에 리소스를 검색할 수 있어야 합니다.

  1. Microsoft Purview가 데이터베이스를 검사하는 데 필요한 정보에 액세스할 수 있도록 최소 db_datareader 권한이 있는 SQL 로그인이 필요합니다. CREATE LOGIN의 지침에 따라 Azure SQL Database에 대한 로그인을 만들 수 있습니다. 다음 단계에 대한 사용자 이름 및 암호를 저장합니다.

  2. Azure Portal 키 자격 증명 모음으로 이동합니다.

  3. 설정>비밀을 선택한 다음 + 생성/가져오기를 선택합니다.

    비밀을 생성하는 키 자격 증명 모음 옵션을 보여 주는 스크린샷.

  4. 이름의 경우 SQL 데이터베이스의 사용자 이름 및 암호(각각)를 사용합니다.

  5. 만들기를 선택합니다.

  6. 키 자격 증명 모음이 Microsoft Purview에 아직 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만듭니다.

  7. 키를 사용하여 검사를 설정하여 새 자격 증명을 만듭니다.

    자격 증명을 설정하는 키 자격 증명 모음 옵션을 보여 주는 스크린샷

    비밀을 만드는 키 자격 증명 모음 옵션을 보여 주는 스크린샷

검사 만들기

  1. Microsoft Purview 계정을 열고 Microsoft Purview 거버넌스 포털 열기를 선택합니다.

  2. 데이터 맵>원본으로 이동하여 컬렉션 계층 구조를 봅니다.

  3. 이전에 등록한 SQL 데이터베이스 아래에서 새 검사 아이콘을 선택합니다.

    새 검사를 만들기 위한 창을 보여 주는 스크린샷

Azure SQL Database의 저장 프로시저 데이터 계보에 대한 자세한 내용은 이 문서의 계보 추출(미리 보기) 섹션을 참조하세요.

검사 단계는 다음 탭에서 인증 방법을 선택합니다.

  1. 이름에 검사의 이름을 입력합니다.

  2. 데이터베이스 선택 방법에서 수동으로 입력을 선택합니다.

  3. 데이터베이스 이름자격 증명의 경우 이전에 만든 값을 입력합니다.

    검사를 실행하는 SQL 인증 옵션에 대한 데이터베이스 및 자격 증명 정보를 보여 주는 스크린샷

  4. 연결 선택에서 검사에 적합한 컬렉션을 선택합니다.

  5. 연결 테스트를 선택하여 연결의 유효성을 검사합니다. 연결이 성공하면 계속을 선택합니다.

검사 범위 지정 및 실행

  1. 목록에서 적절한 항목을 선택하여 특정 데이터베이스 개체에 검사를 scope 수 있습니다.

    검사 범위를 지정하는 옵션을 보여 주는 스크린샷

  2. 검사 규칙 집합을 선택합니다. 시스템 기본값을 사용하거나, 기존 사용자 지정 규칙 집합 중에서 선택하거나, 인라인으로 새 규칙 집합을 만들 수 있습니다. 완료되면 계속 을 선택합니다.

    검사 규칙 집합을 선택하는 옵션을 보여 주는 스크린샷

    새 검사 규칙 집합을 선택하면 원본 유형, 규칙 집합의 이름 및 설명을 입력할 수 있도록 창이 열립니다. 완료되면 계속 을 선택합니다.

    새 검사 규칙 집합을 만들기 위한 정보를 보여 주는 스크린샷

    분류 규칙 선택에서 검사 규칙 집합에 포함할 분류 규칙을 선택한 다음 만들기를 선택합니다.

    검사 규칙 집합에 대한 분류 규칙 목록을 보여 주는 스크린샷

    그러면 새 검사 규칙 집합이 사용 가능한 규칙 집합 목록에 표시됩니다.

    새 검사 규칙 집합의 선택을 보여 주는 스크린샷

  3. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

  4. 검사를 검토한 다음 저장 및 실행을 선택합니다.

검사 보기

검사 상태 검사 컬렉션의 데이터 원본으로 이동한 다음 세부 정보 보기를 선택합니다.

스캔 세부 정보를 보기 위한 단추를 보여 주는 스크린샷

검사 세부 정보는 검사 및 분류된 자산 수와 함께 마지막 실행 상태 검사 진행률을 나타냅니다. 마지막 실행 상태진행 중으로 업데이트된 다음 전체 검사가 성공적으로 실행된 후 완료됨으로 업데이트됩니다.

마지막 검사 실행에 대한 완료된 상태 보여 주는 스크린샷

검사 관리

검사를 실행한 후 실행 기록을 사용하여 관리할 수 있습니다.

  1. 최근 검사에서 검사를 선택합니다.

    최근에 완료된 검사의 선택을 보여 주는 스크린샷

  2. 실행 기록에는 검사를 다시 실행하거나 편집하거나 삭제하는 옵션이 있습니다.

    검색 실행, 편집 및 삭제 옵션을 보여 주는 스크린샷

    지금 검사 실행을 선택하여 검사를 다시 실행하면 증분 검사 또는 전체 검사를 선택할 수 있습니다.

    전체 또는 증분 검사 옵션을 보여 주는 스크린샷

검사 문제 해결

검사에 문제가 있는 경우 다음 팁을 시도해 보세요.

자세한 내용은 Microsoft Purview에서 연결 문제 해결을 참조하세요.

정책 설정

이 데이터 리소스에서 지원되는 Microsoft Purview 정책은 다음과 같습니다.

  • 데이터 소유자 정책 - 사용자 및 그룹에게 데이터 원본에 대한 액세스 권한을 부여할 수 있는 정책 문 집합입니다.
  • 셀프 서비스 정책 - 사용자가 Microsoft Purview에 등록된 데이터 원본에 대한 액세스를 요청할 수 있도록 하는 정책입니다.
  • 보호 정책 - 정책에 지정된 데이터를 제외한 모든 사용자에게 민감도 레이블로 태그가 지정된 데이터에 대한 액세스를 거부합니다.
  • DevOps 정책 - 여러 원본에서 데이터베이스 시스템 메타데이터에 대한 액세스 권한을 부여합니다. IT 운영 및 보안 감사 담당자에 대한 액세스 프로비저닝을 간소화합니다. 액세스 권한만 부여하고 액세스를 거부하지 않습니다.

Azure SQL Database의 액세스 정책 필수 구성 요소

지역 지원

모든 Microsoft Purview 지역이 지원됩니다.

Microsoft Purview 정책 적용은 Azure SQL Database에 대해 다음 지역에서만 사용할 수 있습니다.

퍼블릭 클라우드:

  • 미국 동부
  • 미국 동부 2
  • 미국 중남부
  • 미국 중서부
  • 미국 서부 3
  • 캐나다 중부
  • 브라질 남부
  • 서유럽
  • 북유럽
  • 프랑스 중부
  • 영국 남부
  • 남아프리카 공화국 북부
  • 인도 중부
  • 동남 아시아
  • 동아시아
  • 오스트레일리아 동부

소버린 클라우드:

  • USGov 버지니아
  • 중국 북부 3

Microsoft Purview의 정책에 대한 Azure SQL 데이터베이스 instance 구성

Azure SQL Database와 연결된 논리 서버가 Microsoft Purview의 정책을 적용하려면 Microsoft Entra 관리자를 구성해야 합니다. Azure Portal Azure SQL Database instance 호스트하는 논리 서버로 이동합니다. 측면 메뉴에서 Microsoft Entra ID 선택합니다. 관리자 이름을 원하는 Microsoft Entra 사용자 또는 그룹으로 설정한 다음 저장을 선택합니다.

그런 다음 측면 메뉴에서 ID를 선택합니다. 시스템 할당 관리 ID에서 상태 기로 전환한 다음 저장을 선택합니다.

Azure SQL Database와 연결된 논리 서버에 시스템 할당 관리 ID를 할당하는 방법을 보여 주는 스크린샷

정책에 대한 Microsoft Purview 계정 구성

Microsoft Purview에서 데이터 원본 등록

데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.

참고

Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.

데이터 원본에 대한 데이터 정책 적용을 사용하도록 권한 구성

리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 정책 적용을 사용하도록 설정하려면 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 정책 적용을 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.

  • 리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.

    • IAM 소유자
    • IAM 기여자와 IAM 사용자 액세스 관리자 모두

    Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.

    역할 할당을 추가하기 위한 Azure Portal 섹션을 보여 주는 스크린샷

    참고

    데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Microsoft Entra 확인합니다.

  • 또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.

    다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.

    루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하기 위한 선택 항목을 보여 주는 스크린샷

액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성

정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.

  • 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
  • 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.

또한 정책의 주제를 만들거나 업데이트할 때 Microsoft Entra 사용자 또는 그룹을 쉽게 검색하려면 Microsoft Entra ID 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.

데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성

데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.

Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임

데이터 정책 적용을 위해 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.

참고

모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.

게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.

데이터 원본을 등록하고 데이터 정책 적용을 사용하도록 설정

액세스 정책을 만들려면 Azure SQL 데이터베이스 리소스를 Microsoft Purview에 등록해야 합니다. 리소스를 등록하려면 Microsoft Purview 원본에서 데이터 정책 적용 사용의 "필수 구성 요소" 및 "데이터 원본 등록" 섹션을 따릅니다.

데이터 원본을 등록한 후에는 데이터 정책 적용을 사용하도록 설정해야 합니다. 데이터 원본에서 정책을 만들려면 필수 구성 요소입니다. 데이터 정책 적용 은 데이터 원본에 대한 액세스를 관리하는 특정 Microsoft Purview 역할에 위임하기 때문에 데이터의 보안에 영향을 줄 수 있습니다. Microsoft Purview 원본에서 데이터 정책 적용 사용의 보안 사례를 살펴봅니다.

데이터 원본에 데이터 정책 적용 옵션이 사용으로 설정된 후에는 다음 스크린샷과 같이 표시됩니다.

이름, 서버 이름 및 데이터 정책 적용 영역을 포함하여 정책에 대한 데이터 원본을 등록하기 위한 패널을 보여 주는 스크린샷

Azure SQL Database에 대한 Azure Portal 돌아가서 이제 Microsoft Purview에서 제어되는지 확인합니다.

  1. 이 링크를 통해 Azure Portal 로그인

  2. 구성하려는 Azure SQL 서버를 선택합니다.

  3. 왼쪽 창에서 Microsoft Entra ID 이동합니다.

  4. Microsoft Purview 액세스 정책까지 아래로 스크롤합니다.

  5. Microsoft Purview 거버넌스 확인 단추를 선택합니다. 요청이 처리되는 동안 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    Microsoft Purview에서 관리하는 Azure SQL 보여 주는 스크린샷

  6. Microsoft Purview 거버넌스 상태에 가 표시되는지 확인합니다 Governed. 올바른 상태 반영하려면 Microsoft Purview에서 데이터 정책 적용을 사용하도록 설정한 후 몇 분 정도 걸릴 수 있습니다.

참고

이 Azure SQL 데이터베이스 데이터 원본에 대한 데이터 정책 적용을 사용하지 않도록 설정하면 Microsoft Purview 거버넌스 상태가 로 자동으로 Not Governed업데이트되는 데 최대 24시간이 걸릴 수 있습니다. Microsoft Purview 거버넌스 확인을 선택하여 이 작업을 가속화할 수 있습니다. 다른 Microsoft Purview 계정의 데이터 원본에 대한 데이터 정책 적용 을 사용하도록 설정하기 전에 Purview 거버넌스 상태가 로 Not Governed표시되는지 확인합니다. 그런 다음, 새 Microsoft Purview 계정으로 위의 단계를 반복합니다.

액세스 정책 생성

Azure SQL Database에 대한 액세스 정책을 만들려면 다음 가이드를 따릅니다.

리소스 그룹 또는 Azure 구독 내의 모든 데이터 원본을 포함하는 정책을 만들려면 Microsoft Purview에서 여러 Azure 원본 검색 및 관리를 참조하세요.

#Protection 정책

보호 액세스 제어 정책(보호 정책)을 사용하면 조직에서 데이터 원본에서 중요한 데이터를 자동으로 보호할 수 있습니다. Microsoft Purview는 이미 데이터 자산을 검사하고 중요한 데이터 요소를 식별하며, 이 새로운 기능을 사용하면 Microsoft Purview Information Protection 민감도 레이블을 사용하여 해당 데이터에 대한 액세스를 자동으로 제한할 수 있습니다.

보호 정책을 만들려면 이 설명서에 따라 Microsoft Purview Information Protection 정책을 만드는 방법을 설명합니다.

계보 추출(미리 보기)

Microsoft Purview는 Azure SQL Database의 보기 및 저장 프로시저에 대한 계보를 지원합니다. 뷰에 대한 계보는 검사의 일부로 지원되지만 검사를 설정할 때 계 보 추출 토글을 켜 저장 프로시저 계보를 추출해야 합니다.

참고

현재 계보는 자체 호스팅 통합 런타임 또는 관리형 VNET 런타임 및 Azure SQL 프라이빗 엔드포인트를 사용하여 지원되지 않습니다. Azure 서비스가 Azure SQL Database에 대한 네트워크 설정에서 서버에 액세스할 수 있도록 설정해야 하며 Microsoft Purview 계정은 공용 액세스를 허용해야 합니다. 계보 추출 검사의 알려진 제한 사항에 대해 자세히 알아봅니다.

SQL DB 보기에 대한 계보

6/30/24부터 SQL DB 메타데이터 검사에는 보기에 대한 계보 추출이 포함됩니다. 새 검사에만 뷰 계보 추출이 포함됩니다. 계보는 모든 검사 수준(L1/L2/L3)에서 추출됩니다. 증분 검사의 경우 증분 검사의 일부로 검사되는 메타데이터가 무엇이든 간에 테이블/뷰에 대한 해당 정적 계보가 추출됩니다.

SQL DB 보기에 대한 계보 세부 정보를 보여 주는 스크린샷

SP 계보 추출을 사용하여 검사를 설정하기 위한 필수 구성 요소

  1. 이 문서의 검사에 대한 인증 구성 섹션의 단계에 따라 Microsoft Purview에서 SQL 데이터베이스를 검사할 수 있도록 권한을 부여합니다.

  2. Microsoft Entra 계정으로 Azure SQL Database에 로그인하고 Microsoft Purview 관리 ID에 권한을 할당 db_owner 합니다.

    참고

    계보는 XEvent 세션을 기반으로 하므로 'db_owner' 권한이 필요합니다. 따라서 Microsoft Purview는 SQL에서 XEvent 세션을 관리할 수 있는 권한이 필요합니다.

    다음 예제 SQL 구문을 사용하여 사용자를 만들고 권한을 부여합니다. 을 계정 이름으로 대체 <purview-account> 합니다.

    Create user <purview-account> FROM EXTERNAL PROVIDER
    GO
    EXEC sp_addrolemember 'db_owner', <purview-account> 
    GO
    
  3. SQL 데이터베이스에서 다음 명령을 실행하여 master 키를 만듭니다.

    Create master key
    Go
    
  4. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용이 Azure SQL 리소스에 대한 네트워킹/방화벽에서 사용하도록 설정되어 있는지 확인합니다.

계보 추출이 켜져 있는 검사 만들기

  1. 검사를 설정하기 위한 창에서 계보 추출 사용 토글을 켭니다.

    계보 추출이 켜져 있는 새 검사를 만들기 위한 창을 보여 주는 스크린샷

  2. 이 문서의 검사 만들기 섹션의 단계에 따라 인증 방법을 선택합니다.

  3. 검사를 성공적으로 설정하면 계보 추출이라는 새 검사 유형이 6시간마다 증분 검사를 실행하여 Azure SQL Database에서 계보를 추출합니다. 계보는 SQL 데이터베이스의 저장 프로시저 실행에 따라 추출됩니다.

    6시간마다 계보 추출을 실행하는 화면을 보여 주는 스크린샷

Azure SQL 데이터베이스 자산 검색 및 런타임 계보 보기

통합 카탈로그 탐색하거나 통합 카탈로그 검색하여 Azure SQL Database에 대한 자산 세부 정보를 볼 수 있습니다. 다음 단계에서는 런타임 계보 세부 정보를 보는 방법을 설명합니다.

  1. 자산의 계보 탭으로 이동합니다. 해당하는 경우 자산 계보가 여기에 표시됩니다.

    저장 프로시저의 계보 세부 정보를 보여 주는 스크린샷

    해당하는 경우 더 드릴다운하여 열 수준 계보와 함께 저장 프로시저 내의 SQL 문 수준에서 계보를 볼 수 있습니다. 검사에 자체 호스팅 Integration Runtime 사용하는 경우 버전 5.25.8374.1부터 검사 중에 계보 드릴다운 정보를 검색하는 것이 지원됩니다.

    저장 프로시저 계보 드릴다운을 보여 주는 스크린샷

    지원되는 Azure SQL 데이터베이스 계보 시나리오에 대한 자세한 내용은 이 문서의 지원되는 기능 섹션을 참조하세요. 일반적인 계보에 대한 자세한 내용은 Microsoft Purview의 데이터 계보계보 사용자 가이드 Microsoft Purview 통합 카탈로그 참조하세요.

  2. 저장 프로시저 자산으로 이동합니다. 속성 탭에서 관련 자산으로 이동하여 저장 프로시저의 최신 실행 세부 정보를 가져옵니다.

    저장 프로시저 속성에 대한 실행 세부 정보를 보여 주는 스크린샷

  3. 실행 옆에 있는 저장 프로시저 하이퍼링크를 선택하여 Azure SQL 저장 프로시저 실행 개요를 확인합니다. 속성 탭으로 이동하여 저장 프로시저의 향상된 런타임 정보(예: executedTime, rowCount클라이언트 연결)를 확인합니다.

    저장 프로시저에 대한 실행 속성을 보여 주는 스크린샷

저장 프로시저에 대한 계보 추출 문제 해결

다음 팁은 계보와 관련된 문제를 해결하는 데 도움이 될 수 있습니다.

  • 계보 추출이 성공한 후 계보가 캡처되지 않으면 검사를 설정한 이후 저장 프로시저가 한 번 이상 실행되지 않았을 수 있습니다.
  • 검사 성공 후 발생하는 저장 프로시저 실행에 대해 계보가 캡처됩니다. 과거 저장 프로시저 실행의 계보는 캡처되지 않습니다.
  • 데이터베이스가 많은 저장 프로시저 실행으로 많은 워크로드를 처리하는 경우 계보 추출은 가장 최근의 실행만 필터링합니다. 저장 프로시저는 6시간 창에서 일찍 실행되거나 쿼리 부하가 많은 실행 인스턴스는 추출되지 않습니다. 저장 프로시저 실행에서 계보가 누락된 경우 지원에 문의하세요.
  • 저장 프로시저에 drop 또는 create 문이 포함된 경우 현재 계보에서 캡처되지 않습니다.

다음 단계

Microsoft Purview 및 데이터에 대해 자세히 알아보려면 다음 가이드를 사용합니다.