Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для защиты данных, хранимых в Azure Data Lake Storage 1-го поколения, необходимо выполнить три шага. Как управление доступом на основе ролей Azure (Azure RBAC), так и списки управления доступом (ACL) должны быть настроены таким образом, чтобы полностью разрешить доступ к данным для пользователей и групп безопасности.
- Начните с создания групп безопасности в идентификаторе Microsoft Entra. Эти группы безопасности используются для реализации управления доступом на основе ролей (Azure RBAC) на портале Azure.
- Назначьте учетную запись Data Lake Storage Gen1 группам безопасности Microsoft Entra. Это позволит контролировать доступ к учетной записи Data Lake Storage 1-го поколения с портала и операции управления с портала или через API-интерфейсы.
- Назначьте группы безопасности Microsoft Entra в виде списков управления доступом (ACL) в файловой системе Data Lake Storage 1-го поколения.
- Кроме того, вы также можете задать диапазон IP-адресов для клиентов с доступом к данным в Data Lake Storage 1-го поколения.
В этой статье представлены инструкции по использованию портала Azure для выполнения указанных выше задач. Подробные сведения о том, как Data Lake Storage 1-го поколения реализует безопасность на уровне учетной записи и данных, см. в статье "Безопасность в Azure Data Lake Storage 1-го поколения". Подробные сведения о реализации списков управления доступом (ACL) в хранилище данных Data Lake первого поколения см. в разделе "Обзор управления доступом в Data Lake Storage Gen1".
Предпосылки
Перед началом работы с этим учебником необходимо иметь следующее:
- Подписка Azure. Ознакомьтесь с бесплатной пробной версией Azure.
- Учетная запись Data Lake Storage 1-го поколения. Инструкции по созданию объекта см. в статье "Начало работы с Azure Data Lake Storage 1-го поколения"
Создание групп безопасности в идентификаторе Microsoft Entra
Инструкции по созданию групп безопасности Microsoft Entra и добавлению пользователей в группу см. в разделе "Управление группами безопасности" в идентификаторе Microsoft Entra.
Примечание.
Вы можете добавить пользователей и другие группы в группу в Microsoft Entra ID с помощью портала Azure. Однако, чтобы добавить основной компонент службы в группу, используйте модуль PowerShell для Microsoft Entra ID.
# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>
Назначение пользователей или групп безопасности учетным записям Data Lake Storage 1-го поколения
При назначении пользователей или групп безопасности учетной записи Data Lake Storage 1-го поколения вы контролируете доступ к операциям управления в учетной записи с помощью портала Azure и API Azure Resource Manager Azure.
Откройте учетную запись Data Lake Storage 1-го поколения. В левой области щелкните "Все ресурсы", а затем в колонке "Все ресурсы" щелкните имя учетной записи, которой требуется назначить пользователя или группу безопасности.
В колонке учетной записи Data Lake Storage Gen1 щелкните "Управление доступом" (IAM). По умолчанию blade указывает владельцев подписки в качестве владельцев.
В панели управления доступом (IAM) нажмите «Добавить», чтобы открыть панель «Добавить разрешения». В колонке "Добавление разрешений" выберите роль для пользователя или группы. Найдите группу безопасности, созданную ранее в идентификаторе Microsoft Entra, и выберите ее. Если у вас есть много пользователей и групп для поиска, используйте текстовое поле "Выбрать ", чтобы отфильтровать имя группы.
Роль владельца и участника предоставляет доступ к различным функциям администрирования аккаунта в озере данных. Для пользователей, которые будут взаимодействовать с данными в озере данных, но по-прежнему должны просматривать информацию по управлению аккаунтом, их можно добавить в роль Читателя. Область этих ролей ограничена операциями управления, относящимися к учетной записи Data Lake Storage 1-го поколения.
Разрешения отдельной файловой системы определяют, какие операции с данными могут выполнять пользователи. Таким образом, пользователь с ролью «Читатель» может только просматривать параметры администрирования, связанные с учетной записью, но потенциально может считывать и записывать данные в зависимости от назначенных ему разрешений файловой системы. Разрешения файловой системы Data Lake Storage Gen1 описаны в статье "Назначение группы безопасности в качестве списков управления доступом (ACLs) к файловой системе Azure Data Lake Storage Gen1".
Это важно
Только роль владельца автоматически включает доступ к файловой системе. Участник, читатель и все остальные роли требуют ACL для включения любого уровня доступа к папкам и файлам. Роль владельца предоставляет разрешения суперпользователей и папок, которые нельзя переопределить с помощью списков управления доступом. Дополнительные сведения о сопоставлении политик Azure RBAC с доступом к данным см. в статье Azure RBAC для управления учетными записями.
Если вы хотите добавить группу или пользователя, не указанную в колонке "Добавление разрешений ", можно пригласить их, введя свой адрес электронной почты в текстовом поле "Выбор ", а затем выбрав их из списка.
Нажмите кнопку "Сохранить". Вы увидите добавленную группу безопасности, как показано ниже.
У пользователя или группы безопасности теперь есть доступ к учетной записи Data Lake Storage 1-го поколения. Если вы хотите предоставить доступ конкретным пользователям, их можно добавить в группу безопасности. Аналогично, если требуется отменить доступ для пользователя, его можно удалить из группы безопасности. Можно также назначить несколько групп безопасности для учетной записи.
Назначайте пользователей или группы безопасности в качестве списков контроля доступа в файловой системе Data Lake Storage Gen1.
Назначая пользователя или группы безопасности в файловой системе Data Lake Storage 1-го поколения, вы устанавливаете контроль доступа к данным, хранимым в Data Lake Storage 1-го поколения.
В панели учетной записи Data Lake Storage Gen1 щелкните Обозреватель данных.
В колонке Обозревателя данных щелкните папку, для которой нужно настроить ACL, а затем нажмите кнопку Access. Чтобы назначить ACL файлу, сначала нажмите на файл, чтобы просмотреть его, а затем нажмите Access в разделе Предварительный просмотр файлов.
В колонке Access перечислены владельцы и назначенные разрешения, уже предоставленные корню. Щелкните значок "Добавить ", чтобы добавить дополнительные списки управления доступом.
Это важно
При настройке прав доступа к одному файлу пользователю или группе не обязательно предоставляются права доступа к этому файлу. Необходимо также обеспечить доступность пути к файлу для этого пользователя или группы. Дополнительные сведения и примеры см. в распространенных сценариях, связанных с разрешениями.
Владельцы и прочие пользователи предоставляют доступ в стиле UNIX, где указывается чтение, запись, выполнение (rwx) для трех отдельных классов пользователей: владельца, группы и других.
Назначенные разрешения соответствуют спискам ACL POSIX, которые позволяют задавать разрешения для определенных именованных пользователей или групп за пределами владельца или группы файла.
Дополнительные сведения см. в списках управления доступом HDFS. Дополнительные сведения о том, как реализованы СУД в Data Lake Storage 1-го поколения, см. в разделе "Управление доступом в Data Lake Storage 1-го поколения".
Щелкните значок "Добавить ", чтобы открыть колонку "Назначение разрешений ". В этой колонке выберите пользователя или группу, а затем в колонке "Выбор пользователя или группы " найдите группу безопасности, созданную ранее в идентификаторе Microsoft Entra. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Щелкните группу, которую вы хотите добавить, и нажмите кнопку "Выбрать".
Щелкните "Выбрать разрешения", выберите разрешения, следует ли применять разрешения рекурсивно, а также назначать разрешения в качестве ACL доступа, ACL по умолчанию или обоих. Нажмите кнопку "ОК".
Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках управления доступом по умолчанию см. в разделе "Управление доступом" в Data Lake Storage 1-го поколения.
После нажатия кнопки "ОК " в колонке "Выбор разрешений " добавленная группа и связанные разрешения теперь будут перечислены в колонке Access .
Это важно
В текущем выпуске можно иметь до 28 записей в разделе "Назначенные разрешения". Если нужно добавить больше 28 пользователей, необходимо создать группы безопасности, добавить в них пользователей и предоставить доступ этим группам безопасности к учетной записи хранения Data Lake Storage 1-го поколения.
При необходимости можно также изменить права доступа уже после добавления группы. Снимите или установите флажок для каждого типа разрешений (чтение, запись, выполнение) в зависимости от того, нужно ли удалить или назначить разрешение для группы безопасности. Нажмите кнопку "Сохранить" , чтобы сохранить изменения или отменить изменения.
Назначение диапазона IP-адресов для доступа к данным
Data Lake Storage 1-го поколения позволяет дополнительно блокировать доступ к хранилищу данных на уровне сети. Вы можете включить брандмауэр, указать IP-адрес или определить диапазон IP-адресов для доверенных клиентов. После включения брандмауэра к хранилищу смогут подключаться только клиенты с IP-адресами из определенного диапазона.
Удаление групп безопасности из учетной записи Data Lake Storage 1-го поколения
При удалении групп безопасности из учетных записей Data Lake Storage 1-го поколения вы изменяете только доступ к операциям управления в учетной записи с помощью портала Azure и API-интерфейсов Azure Resource Manager.
Права доступа к данным не меняются и по-прежнему управляются ACL. Исключением являются пользователи и группы с ролью владельцев. Пользователи и группы, удаленные из роли "Владельцы", больше не являются суперпользователями и их права доступа ограничиваются правами, предоставляемыми списком управления доступом.
В панели учетной записи Data Lake Storage Gen1 щелкните "Управление доступом" (IAM).
В колонке управления доступом (IAM) щелкните группы безопасности, которые нужно удалить. Нажмите кнопку "Удалить".
Удалить ACL групп безопасности из файловой системы Data Lake Storage 1-го поколения
При удалении списка контроля доступа группы безопасности из файловой системы Data Lake Storage 1-го поколения вы меняете права доступа к данным в учетной записи Data Lake Storage 1-го поколения.
На панели учетной записи Data Lake Storage Gen1, щелкните Обозреватель данных.
В колонке обозревателя данных щелкните папку, для которой нужно удалить ACL, а затем нажмите кнопку Access. Чтобы удалить ACL для файла, сначала щелкните файл для предварительного просмотра, а затем щелкните Access на панели "Предварительный просмотр файла".
В колонке Access щелкните группу безопасности, которую вы хотите удалить. В колонке сведений о доступе нажмите кнопку "Удалить".
См. также
- Обзор Azure Data Lake Storage 1-го поколения
- Копирование данных из объектов хранилища Azure в хранилище Data Lake первого поколения
- Использование Azure Data Lake Analytics с Data Lake Storage 1-го поколения
- Использование Azure HDInsight с Data Lake Storage 1-го поколения
- Начало работы с Data Lake Storage 1-го поколения с помощью PowerShell
- Начало работы с Data Lake Storage 1-го поколения с помощью пакета SDK для .NET
- Доступ к журналам диагностики для Data Lake Storage 1-го поколения