Используйте Обозреватель службы хранилища Azure для управления списками управления доступом в Azure Data Lake Storage

В этой статье показано, как использовать Обозреватель службы хранилища Azure для управления списками контроля доступа (ACL) в аккаунтах хранения с включённым иерархическим пространством имён (HNS).

Используйте Обозреватель службы хранилища для просмотра и обновления ACL каталогов и файлов. Наследование ACL уже доступно для новых дочерних элементов, которые вы создаёте в родительском каталоге. Вы также можете рекурсивно применять настройки ACL к существующим дочерним элементам родительского каталога, не внося эти изменения отдельно для каждого дочернего элемента.

Предварительные требования

  • Подписка Azure. См. Бесплатная пробная версия Azure.

  • Учетная запись хранения с включенным иерархическим пространством имен (HNS). Выполните эти инструкции, чтобы создать учетную запись.

  • Обозреватель службы хранилища Azure, установленный на локальном компьютере. Чтобы установить Обозреватель службы хранилища Azure для Windows, macOS или Linux, см. Обозреватель службы хранилища Azure.

  • Вам нужно иметь одно из следующих разрешений безопасности:

    • Вашему идентификатору пользователя назначается роль владельца данных Storage Blob в области действия либо целевого контейнера, аккаунта хранения, родительской группы ресурсов или подписки.

    • Вы являетесь пользователем-владельцем целевого контейнера, каталога или BLOB-объекта, для которого вы планируете применить параметры ACL.

Примечание.

Обозреватель службы хранилища использует конечные точки Blob (blob) и Data Lake Storage (dfs) при работе с Azure Data Lake Storage. Если вы настраиваете доступ к Azure Data Lake Storage с помощью закрытых конечных точек, убедитесь, что вы создали две закрытые конечные точки для учетной записи хранения: одну с целевым подресурсом blob и другую с целевым подресурсом dfs.

Войти в Обозреватель службы хранилища

При первом запуске Обозревателя службы хранилища Microsoft Azure появляется окно Подключения к хранилищу Azure. Хотя Обозреватель службы хранилища предлагает несколько способов подключения к аккаунтам хранения, только один способ поддерживает управление ACL.

  1. В панели «Выбрать ресурс » выберите «Подписка».

    Скриншот, показывающий панель Microsoft Обозреватель службы хранилища Azure — Выберите ресурсы.

  2. В области Выбор среды Azure выберите среду Azure для входа в систему. Вы можете войти в глобальную среду Azure, национальное облако или экземпляр Azure Stack. Затем выберите Далее.

    Снимок экрана: Обозреватель службы хранилища Microsoft Azure, выделен параметр

  3. Войдите в систему через свой аккаунт Azure на странице входа, которую открывает Обозреватель службы хранилища.

  4. В разделе УПРАВЛЕНИЕ АККАУНТОМ выберите подписки Azure, с которыми хотите работать, а затем выберите Open Explorer.

    Снимок экрана: Обозреватель службы хранилища Microsoft Azure, выделен параметр

    Обозреватель службы хранилища Azure открывается с открытой вкладкой Обозреватель. Этот вид даёт вам представление обо всех ваших аккаунтах хранения Azure, а также о локальном хранилище, настроенном через эмулятор хранения Azurite или среды Azure Stack.

    Скриншот окна Microsoft Обозреватель службы хранилища Azure — Connect.

Управление ACL

Щелкните правой кнопкой мыши контейнер, каталог или файл, а затем выберите пункт "Управление контроль доступа списками". На следующем снимке экрана показано меню, отображаемое при щелчке правой кнопкой мыши по каталогу.

Скриншот контекстного меню правой кнопкой мыши в Обозреватель службы хранилища Azure, показывающего опцию Manage контроль доступа Lists для каталога.

Диалоговое окно «Управление доступом» позволяет управлять правами для владельца и группы владельцев. Также можно добавить новых пользователей и группы в список контроля доступа, чтобы управлять их правами.

Скриншот диалогового окна «Управление доступом» в Обозреватель службы хранилища Azure, показывающий права для владельца, группы владельцев и опции добавления пользователей или групп.

Чтобы добавить нового пользователя или группу в список контроля доступа, выберите Добавить. Затем введите соответствующую запись Microsoft Entra, которую хотите добавить в список, и выберите «Добавить». Пользователь или группа теперь отображается в поле «Пользователи и группы», чтобы вы могли начать управлять их правами.

Примечание.

В качестве лучшей практики создайте группу безопасности в Microsoft Entra ID и сохраняйте права на группу, а не на отдельных пользователей. Дополнительные сведения об этой рекомендации, а также другие рекомендации см. в разделе "Модель управления доступом" в Azure Data Lake Storage.

Используйте контрольные блоки для настройки ACL доступа (которые управляют правами для существующих элементов) и стандартных ACL (которые служат шаблоном для разрешений, унаследованных новыми дочерними элементами). Чтобы узнать больше, см. «Типы ACL».

Рекурсивное применение ACL

Записи ACL можно рекурсивно применить к существующим дочерним элементам родительского каталога без необходимости вносить эти изменения отдельно для каждого дочернего элемента.

Для рекурсивного применения записей ACL нажмите правой кнопкой мыши контейнер или каталог, а затем выберите пункт Распространение списков управления доступом. На следующем снимке экрана показано меню, отображаемое при щелчке правой кнопкой мыши по каталогу.

Примечание.

Опция Propagate контроль доступа Lists доступна только в Обозреватель службы хранилища 1.28.1 и более поздних версиях.

Скриншот контекстного меню правой кнопкой мыши в Обозреватель службы хранилища Azure, показывающего опцию Propagate контроль доступа Lists для каталога.

Следующие шаги

Сведения о модели разрешений Data Lake Storage.