Azure Purview Security

Beim Thema Security sind mit Azure Purview im Wesentlichen 2 Bereiche zu betrachten. Zum einen der Zugriff auf Azure Purview selber und zum anderen der Bereich Zugriff auf Datenquellen.

Für den Zugriff auf Azure Purview hat Microsoft neue Rollen in der Role Based Access Control (RBAC) geschaffen, welche sich aktuell noch in der Preview befinden.

Benutzer mit der Purview Data Reader Role haben Zugriff auf Azure Purview und können sämtlichen Content innerhalb von Azure Purview lesen.

Über die Rolle Purview Data Curator Role besteht ebenfalls lesender Zugriff auf sämtichen Inhalte von Azure Purview. Zusätzlich können Informationen über Assets, Klassifizierungsdefinitionen (Classifications) sowie Glossarbegriffe (Glossary Terms) bearbeitet werden. Klassifizierungsdefinitionen sowie Glossarbegriffe können wiederum auch auf Assets angewendet werden. 

Mit der weiteren neuen Rolle, der Purview Data Source Administrator Role, besteht kein Zugriff auf das Portal selber. Hierfür müsste eine Benutzer zusätzlich auch noch in der Rolle Data Reader oder Data Contributor enthalten sein. Diese Rolle dient dazu, den gesamten Vorgang des Scannens von Datenquellen einzurichten und zu verwalten.

Eine gute Auflistung wann welchem Benutzer welche Rolle zuzuweisen ist, ist in den Microsoft Docs “Who should be assigned to what role?” zu finden.

Grundsätzlich ist zu beachten, dass der Ersteller eines neuen Purview Accounts so behandelt wird, als wären ihm die beiden Rollen Purview Data Creator Role und Purview Data Source Administrator Role zugeordnet. Tatsächlich ist der Ersteller des Accounts im Role Store jedoch nicht diesen Rollen zugeordnet, sondern bekommt diese Rollen automatisch über Purview anhand des Prinicples zugeordnet.

Auch wenn Azure Purview im Management Center einen Bereich Access Control hat, können Zugriffsberechtigungen aktuell nur über die Access Control (IAM) vergeben werden.