今回は Azure SQL Database の登録とスキャン の内容を見ていきます。
Azure SQL データベースへの接続
現在以下の 3 つの方法がサポートされています。
- SQL 認証
- サービス プリンシパル
- マネージド ID
SQL 認証とサービスプリンパルを使う場合、パスワードやシークレット管理に Key Vault サービスを使います。まずは Key Vault から準備します。
Key Vault の作成
1. Azure Portal より Key Vault リソースを追加。
2. Azure Purview がシークレットを読める必要があるため、作成した Key Vault に移動し、アクセスポリシーより「アクセスポリシーの追加」をクリック。
3. シークレットの取得を選択。
4.「プリンシパルの選択」より Purview アカウントを選択。
5.「追加」をクリックした後、「保存」をクリック。
6. シークレットを選択し、「生成/インポート」をクリックします。
7. 任意の名前を付けて、SQL ユーザーのパスワードを入力。「作成」をクリックします。
SQL Server でファイアウォールの設定
次に Purview からアクセスが行えるよう、SQL Server のファイアウォールを設定します。
1. SQL Server リソースを開き、「ファイアウォールと仮想ネットワーク」を選択。
2.「Azure サービスおよびリソースにこのサーバーへのアクセスを許可する」を「はい」に変更して、「保存」をクリック。
SQL 認証で接続
はじめに SQL 認証で接続を試してみます。
1. Azure Purview Studio より「Sources」を選択し、「Register」をクリック。ソースの一覧より「Azure SQL Databases」を選択。
2. 任意の名前を入力し、スキャンしたいデータベースを選択。「Register」をクリック。
3. 登録が完了したらスキャンアイコンをクリック。
4. Credential ドロップダウンより「New」をクリック。
5. Key Vault connection ドロップダウンより「New」をクリック。
6. 任意の名前を設定し、作成した Key Vault を選択。「Create」をクリック。
7. 権限付与の確認画面が出る。既に実施済みの為「Confirm」をクリック。
8. 任意の名前を設定し、SQL 認証情報を入力して、「Create」をクリック。
9. 資格情報で作成したものを選択し、データベース名からスキャン対象のデータベースを選択。「Continue」をクリック。
10. テーブルの一覧が表示されるため、スキャンしたいテーブルを選択して「Continue」をクリック。
11. スキャンルールは既定のものを選択し、「Continue」をクリック。
12. トリガーは「Once」を選択し、ウィザードを完了させる。
スキャンは他の資産同様、データ量により完了までの時間が変わります。またメタデータの作成は 24 時間以内に完了するようです。
サービスプリンシパルで接続
次にサービスプリンシパルを試します。
サービスプリンシパルの作成とシークレットの登録
1. Azure ポータルより Azure Active Directory を選択し、「アプリの登録」を選択。「新規登録」をクリック。
2. 任意の名前をつけて、「登録」をクリック。
3. 概要ページよりアプリケーション ID をコピーしておく。
4.「証明書とシークレット」を選択し、「新しいクライアントシークレット」をクリック。
5. 任意の有効期限を選択し、シークレットを発行。発行されたシークレットをコピー。
6. Key Vault リソースで新しくシークレット追加。
7. 任意の名前をつけてシークレットを保存。
SQL データベースでユーザー登録
Azure SQL データベースにサービスプリンシパルをユーザーとして登録します。またこの操作は Azure AD ユーザーで行う必要があります。
1. SQL Server リソースより「Active Directory 管理者」を選択。
2. 存在しない場合、もしくは使いたいユーザーがいない場合、「管理者の設定」をクリックし、ユーザーを追加。
3.「保存」をクリック。
4. 設定した Azure AD ユーザーで Azure SQL に接続。
5. 以下クエリを実行してサービスプリンシパルをユーザーとして登録。サービスプリンパル名は必要に応じて変更。
CREATE USER [purvewtestdb-sp] FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_owner', [purvewtestdb-sp]
GO
Azure Purview から接続
今回は先ほどと異なる方法で資格情報を登録してみます。
1. Azure Purview Studio より「Management
Center」を選択し、「New」をクリック。
2.「Authentication method」で「Service Principal」を選択し、必要な情報を入力。「Create」をクリック。
3.「Sources」より Azure SQL のスキャンをクリック。
4.「Credential」で登録したサービスプリンシパルを選択。「Test connection」を実行して接続できることを確認。
マネージド ID で接続
マネージド ID を使う場合は、シークレット管理は必要ありません。そのため Key Vault も不要で、サービスプリンシパルと同様、データベースにユーザー登録をすればそれだけで使えます。
スキャン結果の確認
スキャン結果は他の資産と同じように検索したりメタデータを付与したりできます。また Power BI を使ってデータを取得することも可能です。
1. Azure Purview Studio のホーム画面より「Browse assets」を選択。
2. 資産の一覧より Azure SQL Database を選択。
3. スキャンしたデータベースが表示されていることを確認。
4. SalesLT スキーマを選択し、テーブルが存在する事を確認。
5. 任意のテーブルを開き、情報やスキーマなどを確認。
6.「Open in Power BI Desktop」をクリック。「Get started」をクリックすると pbids ファイルがダウンロードされる。
7. ダウンロードしたファイルを開くと Power BI Desktop が起動。資格情報を入力して接続。
8. データベースに接続されるので、任意のテーブルを選択してデータを読み込み。
Azure Synapse Analytics
現時点で Synapse Analytics は Dedicated SQL のスキャンしか対応していないため、登録とスキャンの手順、および行えることはほぼ Azure SQL と同じです。既に Synapse アカウントをお持ちの場合は是非試してください。
参考:Azure Synapse Analytics の登録とスキャン
次回は Azure Cosmos DB の登録とスキャンを試してみます。