Protezione dei dati archiviati in Azure Data Lake Storage Gen1

La protezione dei dati in Azure Data Lake Storage Gen1 prevede tre passaggi. Sia il controllo degli accessi in base al ruolo di Azure che gli elenchi di controllo di accesso (ACL) di Azure devono essere impostati per abilitare completamente l'accesso ai dati per utenti e gruppi di sicurezza.

1. Per iniziare, creare gruppi di sicurezza in Microsoft Entra ID. Questi gruppi di sicurezza vengono usati per implementare il controllo degli accessi in base al ruolo di Azure nella portale di Azure.
2. Assegnare i gruppi di sicurezza di Microsoft Entra all'account Data Lake Storage Gen1. Questo controlla l'accesso all'account Data Lake Storage Gen1 dal portale e le operazioni di gestione dal portale o dalle API.
3. Assegnare i gruppi di sicurezza di Microsoft Entra come elenchi di controllo di accesso (ACL) nel file system di Data Lake Storage Gen1.
4. È anche possibile impostare un intervallo di indirizzi IP per i client che possono accedere ai dati in Data Lake Storage Gen1.

Questo articolo fornisce istruzioni sull'uso del portale di Azure per eseguire le attività appena descritte. Per informazioni dettagliate sull'implementazione della sicurezza a livello dati e account da parte di Data Lake Storage Gen1, vedere Sicurezza in Azure Data Lake Storage Gen1. Per informazioni dettagliate sull'implementazione degli elenchi di controllo di accesso (ACL) in Data Lake Storage Gen1, vedere Controllo di accesso in Data Lake Storage Gen1.

Prerequisiti

Prima di iniziare questa esercitazione, è necessario disporre di quanto segue:

• Un abbonamento di Azure. Vedere Ottenere una versione di prova gratuita di Azure.
• Un account Data Lake Storage Gen1. Per istruzioni su come crearne uno, vedere Iniziare a usare Azure Data Lake Storage Gen1

Creare gruppi di sicurezza in Microsoft Entra ID

Per istruzioni su come creare gruppi di sicurezza di Microsoft Entra e su come aggiungere utenti al gruppo, vedere Gestione dei gruppi di sicurezza in Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Assegnare utenti o gruppi di sicurezza agli account Data Lake Storage Gen1

Quando si assegnano utenti o gruppi di sicurezza agli account Data Lake Storage Gen1, si controlla l'accesso alle operazioni di gestione nell'account tramite il portale di Azure e l'API Azure Resource Manager.

1. Aprire un account Data Lake Storage Gen1. Nel riquadro sinistro fare clic su Tutte le risorse e nel pannello Tutte le risorse fare clic sul nome dell'account al quale si vuole assegnare un utente o un gruppo di sicurezza.

2. Nel pannello dell'account Data Lake Storage Gen1, fare clic su Controllo di accesso (IAM). Per impostazione predefinita, il pannello elenca i proprietari della sottoscrizione come proprietari.

   

3. Nel pannello Controllo di accesso (IAM) fare clic su Aggiungi per aprire il pannello Aggiungi autorizzazioni. Nel pannello Aggiungi autorizzazioni, selezionare un Ruolo per l'utente o il gruppo. Cercare il gruppo di sicurezza creato in precedenza in Microsoft Entra ID e selezionarlo. Se sono presenti molti utenti e gruppi tra cui cercare, usare la casella di testo Seleziona per filtrare in base al nome del gruppo.

   

   I ruoli Proprietario e Collaboratore offrono l'accesso a un'ampia gamma di funzioni di amministrazione sull'account di Data Lake. Gli utenti che interagiranno con i dati presenti in Data Lake, ma che devono comunque visualizzare le informazioni sulla gestione degli account possono essere aggiunti al ruolo Lettore. L'ambito di questi ruoli è limitato alle operazioni di gestione correlate all'account Data Lake Storage Gen1.

   Per le operazioni sui dati, le operazioni consentite agli utenti sono definite da singole autorizzazioni a livello di file system. Pertanto, un utente con il ruolo Lettore può visualizzare solo le impostazioni amministrative associate all'account, ma potrebbe anche leggere e scrivere dati, in base alle autorizzazioni per il file system che gli sono state assegnate. Le autorizzazioni del file system di Data Lake Storage Gen1 sono descritte in Assegnare gruppi di sicurezza come elenchi di controllo di accesso al file system di Azure Data Lake Storage Gen1.

   Importante

   Solo il ruolo Proprietario può consentire automaticamente l'accesso al file system. I ruoli Collaboratore, Lettore e tutti gli altri richiedono elenchi di controllo di accesso per poter consentire qualsiasi livello di accesso a cartelle e file. Il ruolo Proprietario fornisce autorizzazioni di superutente per file e cartelle che non possono essere sovrascritte tramite ACL (elenchi di controllo di accesso). Per ulteriori informazioni su come i criteri di RBAC di Azure si mappano all'accesso ai dati, vedere Azure RBAC per la gestione degli account.

4. Se si vuole aggiungere un gruppo/utente non elencato nel pannello Aggiungi autorizzazioni, è possibile invitarlo digitandone l'indirizzo e-mail nella casella di testo Seleziona e quindi selezionandolo nell'elenco.

   

5. Fare clic su Salva. Dovresti vedere il gruppo di sicurezza aggiunto come illustrato di seguito.

   

6. L'utente o il gruppo di sicurezza ha ora accesso all'account Data Lake Storage Gen1. Se si desidera assegnare l'accesso a un utente specifico, è possibile aggiungerlo al gruppo di sicurezza. Analogamente, se si desidera revocare l'accesso per un utente, è possibile rimuoverlo dal gruppo di sicurezza. È possibile anche assegnare più gruppi di sicurezza a un account.

Assegna utenti o gruppi di sicurezza come ACL al file system di Data Lake Storage Gen1

Con l'assegnazione di utenti o gruppi di sicurezza al file system di Data Lake Storage Gen1, si imposta il controllo di accesso sui dati archiviati in Data Lake Storage Gen1.

1. Nel pannello dell'account Data Lake Storage Gen1 fare clic su Esplora dati.

   

2. Nel pannello Esplora dati fare clic sulla cartella per cui si vuole configurare l'elenco di controllo di accesso e quindi fare clic su Accesso. Per assegnare elenchi di controllo di accesso a un file, è necessario prima di tutto fare clic su Accesso dal pannello Anteprima file.

   

3. Il pannello Accesso elenca i proprietari e le autorizzazioni già assegnate alla radice. Fare clic sull'icona Aggiungi per aggiungere altri ACL di accesso.

   Importante

   L'impostazione di autorizzazioni di accesso per un singolo file non necessariamente concede a un utente/gruppo l'accesso al file. Il percorso del file deve essere accessibile all'utente o al gruppo assegnato. Per altre informazioni ed esempi, vedere Scenari comuni correlati alle autorizzazioni.

   

   • I ruoli Proprietari e Everyone else (Tutti gli altri) forniscono accesso in stile UNIX, in cui è possibile specificare la lettura, la scrittura e l'esecuzione (rwx) in tre classi di utente distinte: proprietario, gruppo e altri.

   • Autorizzazioni assegnate corrisponde agli elenchi di controllo di accesso POSIX, che permettono di impostare autorizzazioni per utenti o gruppi non anonimi specifici oltre al gruppo o al proprietario del file.

     Per altre informazioni, vedere l'articolo sugli elenchi di controllo di accesso HDFS. Per altre informazioni sull'implementazione degli elenchi di controllo di accesso in Data Lake Storage Gen1, vedere Controllo di accesso in Data Lake Storage Gen1.

4. Fare clic sull'icona Aggiungi per aprire il pannello Assegna autorizzazioni. In questo pannello fare clic su Seleziona utente o gruppo e quindi nel pannello Seleziona utente o gruppo cercare il gruppo di sicurezza creato in precedenza in Microsoft Entra ID. Se è presente un elevato numero di gruppi, usare la casella di testo nella parte superiore per filtrare in base al nome del gruppo. Fare clic sul gruppo che si desidera aggiungere e quindi su Seleziona.

   

5. Fare clic su Selezionare le autorizzazioni, selezionare le autorizzazioni, specificare se le autorizzazioni devono essere applicate ricorsivamente, e se si vogliono assegnare le autorizzazioni come ACL di accesso, ACL predefinito o entrambi. Fare clic su OK.

   

   Per altre informazioni sulle autorizzazioni in Data Lake Storage Gen1 e gli ACL predefiniti/di accesso, vedere Controllo di accesso in Data Lake Storage Gen1.

6. Dopo aver fatto clic su OK nel pannello Selezionare le autorizzazioni, il nuovo gruppo aggiunto e le autorizzazioni associate sono ora elencati nel pannello Accesso.

   

   Importante

   Nella versione corrente, è possibile avere fino a 28 voci sotto Autorizzazioni assegnate. Se si vuole aggiungere più di 28 utenti, è consigliabile creare gruppi di sicurezza, aggiungere gli utenti ai gruppi, concedere l'accesso ai gruppi per l'account Data Lake Storage Gen1.

7. Se necessario, è possibile modificare le autorizzazioni di accesso anche dopo aver aggiunto il gruppo. Selezionare o deselezionare la casella di controllo per ogni tipo di autorizzazione (lettura, scrittura, esecuzione), in modo da aggiungerla o rimuoverla dal gruppo di sicurezza. Fare clic su Salva per salvare le modifiche o su Ignora per annullare le modifiche.

Impostare l'intervallo di indirizzi IP per l'accesso ai dati

Data Lake Storage Gen1 consente di bloccare ulteriormente l'accesso all'archivio dati a livello di rete. È possibile abilitare il firewall, specificare un indirizzo IP e definire un intervallo di indirizzi IP per i client attendibili. Dopo l'abilitazione, solo i client che hanno un indirizzo IP compreso nell'intervallo definito possono connettersi al negozio.

Rimuovere i gruppi di sicurezza per un account Data Lake Storage Gen1

Quando si rimuovono i gruppi di sicurezza dagli account Data Lake Storage Gen1, si modifica solo l'accesso alle operazioni di gestione nell'account usando le API di portale di Azure e Azure Resource Manager.

L'accesso ai dati è invariato e continua a essere gestito tramite gli ACL di accesso. L'eccezione a questo comportamento sono gli utenti o i gruppi nel ruolo di Proprietari. Gli utenti o i gruppi rimossi dal ruolo Proprietari non sono più utenti con privilegi avanzati e il loro accesso dipende di nuovo dalle impostazioni degli ACL di accesso.

1. Nel pannello dell'account Data Lake Storage Gen1, fare clic su Controllo di accesso (IAM).

   

2. Nel pannello Controllo di accesso (IAM) fare clic su uno o più gruppi di sicurezza che si vuole rimuovere. Fare clic su Rimuovi.

   

Rimuovere gli elenchi di controllo di accesso (ACL) del gruppo di sicurezza da un file system di Data Lake Storage Gen1

Quando si rimuovono gli elenchi di controllo di accesso (ACL) del gruppo di sicurezza da un file system di Data Lake Storage Gen1 si modifica l'accesso ai dati nell'account Data Lake Storage Gen1.

1. Nel pannello dell'account Data Lake Storage Gen1 fare clic su Esplora dati.

   

2. Nel pannello Esplora dati fare clic sulla cartella per cui si vuole rimuovere l'elenco di controllo di accesso e quindi fare clic su Accesso. Per rimuovere elenchi di controllo di accesso per un file, è necessario prima di tutto fare clic sul file per visualizzarne l'anteprima e quindi fare clic su Accesso dal pannello Anteprima file.

   

3. Nel pannello Accesso fare clic sul gruppo di sicurezza che si vuole rimuovere. Nel pannello Dettagli accesso fare clic su Rimuovi.

   

Vedere anche

• Panoramica di Azure Data Lake Storage Gen1
• Copiare i dati dai BLOB di Archiviazione di Azure a Data Lake Storage Gen1
• Usare Azure Data Lake Analytics con Data Lake Storage Gen1
• Usare Azure HDInsight con Data Lake Storage Gen1
• Iniziare a usare Data Lake Storage Gen1 tramite PowerShell
• Iniziare a usare Data Lake Storage Gen1 tramite .NET SDK
• Accesso ai log di diagnostica per Data Lake Storage Gen1