Criar, listar, atualizar e excluir políticas do Microsoft Purview DevOps
As políticas de DevOps são um tipo de políticas de acesso do Microsoft Purview. Você pode usá-los para gerenciar o acesso a metadados do sistema em fontes de dados que foram registradas para gerenciamento de uso de dados no Microsoft Purview.
Você pode configurar políticas de DevOps diretamente do portal de governança do Microsoft Purview. Depois de salvas, elas são publicadas automaticamente e impostas pela fonte de dados. As políticas do Microsoft Purview gerenciam apenas o acesso para entidades de administração do Azure Active Directory (Azure AD).
Este guia aborda as etapas de configuração no Microsoft Purview para provisionar o acesso aos metadados do sistema de banco de dados usando as ações de política de DevOps para as funções SQL Monitor de Desempenho e SQL Security Auditor. Ele mostra como criar, listar, atualizar e excluir políticas de DevOps.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Uma conta nova ou existente do Microsoft Purview. Siga este guia de início rápido para criar um.
Configuração
Antes de criar políticas no portal de política do Microsoft Purview, você precisa configurar as fontes de dados para que elas possam impor essas políticas:
- Siga todos os pré-requisitos específicos da política para sua origem. Verifique a tabela de fontes de dados com suporte do Microsoft Purview e selecione o link na coluna Política de acesso para obter fontes em que as políticas de acesso estão disponíveis. Siga todas as etapas listadas nas seções "Política de acesso" e "Pré-requisitos".
- Registre a fonte de dados no Microsoft Purview. Siga as seções "Pré-requisitos" e "Registrar" das páginas de origem para seus recursos.
- Ative o alternância de gerenciamento de uso de dados no registro da fonte de dados. Para obter mais informações, incluindo permissões adicionais necessárias para esta etapa, consulte Habilitar gerenciamento de uso de dados em suas fontes do Microsoft Purview.
Criar uma nova política de DevOps
Para criar uma política de DevOps, primeiro verifique se você tem a função Microsoft Purview Policy Author no nível da coleção raiz. Verifique a seção sobre como gerenciar atribuições de função do Microsoft Purview neste guia. Em seguida, execute estas etapas:
Entre no portal de governança do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
Selecione o botão Nova política .
O painel de detalhes da política é aberto.
Para tipo de fonte de dados, selecione uma fonte de dados. Em Nome da fonte de dados, selecione uma das fontes de dados listadas. Em seguida, clique em Selecionar para retornar ao painel Nova Política .
Selecione uma das duas funções, monitoramento de desempenho ou auditoria de segurança. Em seguida, selecione Adicionar/remover assuntos para abrir o painel Assunto .
Na caixa Selecionar assuntos, insira o nome de uma entidade de Azure AD (usuário, grupo ou entidade de serviço). Há suporte para grupos do Microsoft 365, mas as atualizações para a associação de grupo levam até uma hora para serem refletidas em Azure AD. Continue adicionando ou removendo assuntos até que você esteja satisfeito e selecione Salvar.
Selecione Salvar para salvar a política. A política é publicada automaticamente. A aplicação começa na fonte de dados dentro de cinco minutos.
Listar políticas de DevOps
Para listar políticas de DevOps, primeiro verifique se você tem uma das seguintes funções do Microsoft Purview no nível da coleção raiz: Autor de Política, Administração de Fonte de Dados, Curador de Dados ou Leitor de Dados. Verifique a seção sobre como gerenciar atribuições de função do Microsoft Purview neste guia. Em seguida, execute estas etapas:
Entre no portal de governança do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
O painel Políticas de DevOps lista todas as políticas que foram criadas.
Atualizar uma política de DevOps
Para atualizar uma política de DevOps, primeiro verifique se você tem a função DevOps Policy Author do Microsoft Purview no nível da coleção raiz. Verifique a seção sobre como gerenciar atribuições de função do Microsoft Purview neste guia. Em seguida, execute estas etapas:
Entre no portal de governança do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
No painel Políticas de DevOps , abra os detalhes da política para uma das políticas selecionando-a em seu caminho de recurso de dados.
No painel para obter detalhes da política, selecione Editar.
Faça suas alterações e selecione Salvar.
Excluir uma política de DevOps
Para excluir uma política de DevOps, primeiro verifique se você tem a função DevOps Policy Author do Microsoft Purview no nível da coleção raiz. Verifique a seção sobre como gerenciar atribuições de função do Microsoft Purview neste guia. Em seguida, execute estas etapas:
Entre no portal de governança do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
Selecione a caixa de seleção de uma das políticas e selecione Excluir.
Testar a política DevOps
Depois de criar uma política, qualquer um dos usuários Azure AD que você selecionou como sujeitos agora pode se conectar às fontes de dados no escopo da política. Para testar, use SQL Server Management Studio (SSMS) ou qualquer cliente SQL e tente consultar algumas DMVs (exibições de gerenciamento dinâmico) e DMFs (funções de gerenciamento dinâmico). As seções a seguir listam alguns exemplos. Para obter mais exemplos, consulte o mapeamento de DMVs e DMFs populares em O que posso realizar com as políticas do Microsoft Purview DevOps?.
Se você precisar de mais solução de problemas, consulte a seção Próximas etapas neste guia.
Testar o acesso ao SQL Monitor de Desempenho
Se você forneceu os assuntos da política para a função SQL Monitor de Desempenho, poderá emitir os seguintes comandos:
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
Testar o acesso do Auditor de Segurança do SQL
Se você forneceu os assuntos da política para a função de Auditor de Segurança do SQL, poderá emitir os seguintes comandos do SSMS ou de qualquer cliente SQL:
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
Verifique se não há acesso aos dados do usuário
Tente acessar uma tabela em um dos bancos de dados usando o seguinte comando:
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
A entidade de Azure AD com a qual você está testando deve ser negada, o que significa que os dados estão protegidos contra ameaças internas.
Detalhes da definição de função
A tabela a seguir mapeia as funções de política de dados do Microsoft Purview para ações específicas em fontes de dados SQL.
Função de política do Microsoft Purview | Ações em fontes de dados |
---|---|
SQL Monitor de Desempenho | Microsoft.Sql/Sqlservers/Connect |
Microsoft.Sql/Sqlservers/Databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
Auditor de Segurança do SQL | Microsoft.Sql/Sqlservers/Connect |
Microsoft.Sql/Sqlservers/Databases/Connect | |
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
Próximas etapas
Verifique os seguintes blogs, vídeos e artigos relacionados:
- Blog: As políticas do Microsoft Purview DevOps para SQL do Azure Banco de Dados agora estão geralmente disponíveis
- Blog: solução barata para gerenciar o acesso a informações de integridade, desempenho e segurança do SQL
- Blog: As políticas do Microsoft Purview DevOps habilitam o provisionamento de acesso em escala para operações de TI
- Blog: A API de políticas do Microsoft Purview DevOps agora é pública
- Vídeo: Pré-requisito para políticas: a opção "Gerenciamento de uso de dados"
- Vídeo: Visão geral rápida das políticas do DevOps
- Vídeo: Mergulho profundo para políticas de DevOps
- Artigo: Guia de conceito de políticas do Microsoft Purview DevOps
- Artigo: Políticas do Microsoft Purview DevOps no SQL Server habilitado para Azure Arc
- Artigo: Políticas do Microsoft Purview DevOps no Banco de Dados SQL do Azure
- Artigo: Políticas do Microsoft Purview DevOps em grupos de recursos ou assinaturas inteiras
- Artigo: Solucionar problemas de políticas do Microsoft Purview para fontes de dados SQL