تأمين البيانات المخزنة في Azure Data Lake Storage Gen1
يعد تأمين البيانات في Azure Data Lake Storage Gen1 نهجا من ثلاث خطوات. يجب تعيين كل من التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) وقوائم التحكم في الوصول (ACLs) لتمكين الوصول الكامل إلى البيانات للمستخدمين ومجموعات الأمان.
- ابدأ بإنشاء مجموعات أمان في Microsoft Entra ID. يتم استخدام مجموعات الأمان هذه لتنفيذ التحكم في الوصول المستند إلى دور Azure (Azure RBAC) في مدخل Microsoft Azure.
- تعيين مجموعات أمان Microsoft Entra إلى حساب Data Lake Storage Gen1. يتحكم هذا في الوصول إلى حساب Data Lake Storage Gen1 من المدخل وعمليات الإدارة من المدخل أو واجهات برمجة التطبيقات.
- قم بتعيين مجموعات الأمان Microsoft Entra كقوائم التحكم في الوصول (ACLs) على نظام الملفات Data Lake Storage Gen1.
- بالإضافة إلى ذلك، يمكنك أيضا تعيين نطاق عناوين IP للعملاء الذين يمكنهم الوصول إلى البيانات في Data Lake Storage Gen1.
توفر هذه المقالة إرشادات حول كيفية استخدام مدخل Microsoft Azure لتنفيذ المهام المذكورة أعلاه. للحصول على معلومات متعمقة حول كيفية تنفيذ Data Lake Storage Gen1 للأمان على مستوى الحساب والبيانات، راجع الأمان في Azure Data Lake Storage Gen1. للحصول على معلومات متعمقة حول كيفية تنفيذ قوائم التحكم في الوصول في Data Lake Storage Gen1، راجع نظرة عامة على التحكم في الوصول في Data Lake Storage Gen1.
المتطلبات الأساسية
قبل أن تبدأ هذا البرنامج التعليمي، يجب أن يكون لديك ما يلي:
- اشتراك Azure. راجع الحصول على الإصدار التجريبي المجاني من Azure .
- حساب Data Lake Storage Gen1. للحصول على إرشادات حول كيفية إنشاء واحد، راجع بدء استخدام Azure Data Lake Storage Gen1
إنشاء مجموعات أمان في Microsoft Entra ID
للحصول على إرشادات حول كيفية إنشاء مجموعات أمان Microsoft Entra وكيفية إضافة مستخدمين إلى المجموعة، راجع إدارة مجموعات الأمان في Microsoft Entra ID.
ملاحظة
يمكنك إضافة كل من المستخدمين والمجموعات الأخرى إلى مجموعة في Microsoft Entra ID باستخدام مدخل Microsoft Azure. ومع ذلك، لإضافة كيان خدمة إلى مجموعة، استخدم وحدة PowerShell النمطية Microsoft Entra ID.
# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>
تعيين مستخدمين أو مجموعات أمان لحسابات Data Lake Storage Gen1
عند تعيين مستخدمين أو مجموعات أمان لحسابات Data Lake Storage Gen1، يمكنك التحكم في الوصول إلى عمليات الإدارة على الحساب باستخدام مدخل Microsoft Azure وواجهات برمجة تطبيقات Azure Resource Manager.
افتح حساب Data Lake Storage Gen1. من الجزء الأيمن، انقر فوق All resources، ثم من جزء All resources، انقر فوق اسم الحساب الذي تريد تعيين مستخدم أو مجموعة أمان إليه.
في جزء حساب Data Lake Storage Gen1، انقر فوق التحكم بالوصول (IAM). تسرد الشفرة بشكل افتراضي مالكي الاشتراكات كمالك.
في جزء التحكم في الوصول (IAM)، انقر فوق إضافة لفتح جزء إضافة أذونات . في جزء Add permissions ، حدد Role للمستخدم/المجموعة. ابحث عن مجموعة الأمان التي أنشأتها سابقا في Microsoft Entra ID وحددها. إذا كان لديك الكثير من المستخدمين والمجموعات للبحث منهم، فاستخدم مربع النص Select للتصفية على اسم المجموعة.
يوفر دور المالكوالمساهم الوصول إلى مجموعة متنوعة من وظائف الإدارة على حساب مستودع البيانات. بالنسبة للمستخدمين الذين سيتفاعلون مع البيانات في مستودع البيانات ولكنهم لا يزالون بحاجة إلى عرض معلومات إدارة الحساب، يمكنك إضافتها إلى دور القارئ . يقتصر نطاق هذه الأدوار على عمليات الإدارة المتعلقة بحساب Data Lake Storage Gen1.
بالنسبة لعمليات البيانات، تحدد أذونات نظام الملفات الفردية ما يمكن للمستخدمين القيام به. لذلك، يمكن للمستخدم الذي له دور قارئ عرض الإعدادات الإدارية المقترنة بالحساب فقط ولكن يمكنه قراءة البيانات وكتابتها استنادا إلى أذونات نظام الملفات المعينة له. يتم وصف أذونات نظام الملفات Data Lake Storage Gen1 في تعيين مجموعة الأمان كقوائم ACL لنظام ملفات Azure Data Lake Storage Gen1.
هام
يمكن دور المالك فقط الوصول إلى نظام الملفات تلقائيا. يتطلب المساهموالقارئ وجميع الأدوار الأخرى قوائم التحكم في الوصول لتمكين أي مستوى من الوصول إلى المجلدات والملفات. يوفر دور المالك أذونات ملفات ومجلد المستخدم الفائق التي لا يمكن تجاوزها عبر قوائم التحكم في الوصول. لمزيد من المعلومات حول كيفية تعيين نهج Azure RBAC للوصول إلى البيانات، راجع Azure RBAC لإدارة الحساب.
إذا كنت تريد إضافة مجموعة/مستخدم غير مدرجة في جزء إضافة أذونات ، فيمكنك دعوتهم بكتابة عنوان بريدهم الإلكتروني في مربع النص تحديد ثم تحديده من القائمة.
انقر فوق حفظ. يجب أن تشاهد مجموعة الأمان المضافة كما هو موضح أدناه.
يمكن للمستخدم/مجموعة الأمان الآن الوصول إلى حساب Data Lake Storage Gen1. إذا كنت تريد توفير الوصول إلى مستخدمين محددين، يمكنك إضافتهم إلى مجموعة الأمان. وبالمثل، إذا كنت تريد إبطال الوصول لمستخدم، يمكنك إزالته من مجموعة الأمان. يمكنك أيضا تعيين مجموعات أمان متعددة إلى حساب.
تعيين المستخدمين أو مجموعات الأمان كقوائم ACL لنظام الملفات Data Lake Storage Gen1
من خلال تعيين مجموعات المستخدم/الأمان إلى نظام الملفات Data Lake Storage Gen1، يمكنك تعيين التحكم في الوصول على البيانات المخزنة في Data Lake Storage Gen1.
في جزء حساب Data Lake Storage Gen1، انقر فوق مستكشف البيانات.
في جزء Data Explorer ، انقر فوق المجلد الذي تريد تكوين قائمة التحكم بالوصول له، ثم انقر فوق Access. لتعيين قوائم التحكم في الوصول إلى ملف، يجب أولا النقر فوق الملف لمعاينته ثم النقر فوق Access من شفرة معاينة الملف .
تسرد شفرة Access المالكين والأذونات المعينة المعينة بالفعل للجذر. انقر فوق الأيقونة إضافة لإضافة قوائم التحكم في الوصول الإضافية.
هام
لا يمنح تعيين أذونات الوصول لملف واحد بالضرورة وصول مستخدم/مجموعة إلى هذا الملف. يجب أن يكون المسار إلى الملف متاحا للمستخدم/المجموعة المعينة. لمزيد من المعلومات والأمثلة، راجع السيناريوهات الشائعة المتعلقة بالأذونات.
يوفر المالكونوالجميع الوصول على غرار UNIX، حيث تحدد القراءة والكتابة والتنفيذ (rwx) إلى ثلاث فئات مستخدم مميزة: المالك والمجموعة وغيرها.
تتوافق الأذونات المعينة مع قوائم التحكم في الوصول POSIX التي تمكنك من تعيين أذونات لمستخدمين معينين أو مجموعات مسماة خارج مالك الملف أو مجموعته.
لمزيد من المعلومات، راجع قوائم التحكم في الوصول HDFS. لمزيد من المعلومات حول كيفية تنفيذ قوائم التحكم في الوصول في Data Lake Storage Gen1، راجع التحكم في الوصول في Data Lake Storage Gen1.
انقر فوق الأيقونة إضافة لفتح شفرة تعيين الأذونات . في هذه الشفرة، انقر فوق تحديد مستخدم أو مجموعة، ثم في تحديد مستخدم أو جزء مجموعة، ابحث عن مجموعة الأمان التي أنشأتها سابقا في Microsoft Entra ID. إذا كان لديك الكثير من المجموعات للبحث منها، فاستخدم مربع النص في الأعلى للتصفية على اسم المجموعة. انقر فوق المجموعة التي تريد إضافتها، ثم انقر فوق تحديد.
انقر فوق تحديد الأذونات، وحدد الأذونات، وما إذا كان يجب تطبيق الأذونات على بشكل متكرر، وما إذا كنت تريد تعيين الأذونات ك ACL وصول أو قائمة التحكم بالوصول الافتراضية أو كليهما. انقر فوق موافق.
لمزيد من المعلومات حول الأذونات في Data Lake Storage Gen1 وقوائم التحكم في الوصول/الوصول الافتراضية، راجع التحكم بالوصول في Data Lake Storage Gen1.
بعد النقر فوق موافق في جزء تحديد الأذونات ، سيتم الآن إدراج المجموعة المضافة حديثا والأذونات المقترنة في شفرة Access .
هام
في الإصدار الحالي، يمكنك الحصول على ما يصل إلى 28 إدخالا ضمن الأذونات المعينة. إذا كنت تريد إضافة أكثر من 28 مستخدما، فيجب عليك إنشاء مجموعات أمان وإضافة مستخدمين إلى مجموعات الأمان وإضافة توفير الوصول إلى مجموعات الأمان هذه لحساب Data Lake Storage Gen1.
إذا لزم الأمر، يمكنك أيضا تعديل أذونات الوصول بعد إضافة المجموعة. قم بإلغاء تحديد خانة الاختيار لكل نوع إذن (قراءة، كتابة، تنفيذ) أو تحديدها استنادا إلى ما إذا كنت تريد إزالة هذا الإذن أو تعيينه إلى مجموعة الأمان. انقر فوق حفظ لحفظ التغييرات، أو تجاهل للتراجع عن التغييرات.
تعيين نطاق عنوان IP للوصول إلى البيانات
يمكنك Data Lake Storage Gen1 من تأمين الوصول إلى مخزن البيانات الخاص بك على مستوى الشبكة. يمكنك تمكين جدار الحماية أو تحديد عنوان IP أو تحديد نطاق عناوين IP لعملائك الموثوق بهم. بمجرد التمكين، يمكن فقط للعملاء الذين لديهم عناوين IP ضمن نطاق محدد الاتصال بالمخزن.
إزالة مجموعات الأمان لحساب Data Lake Storage Gen1
عند إزالة مجموعات الأمان من حسابات Data Lake Storage Gen1، فإنك تقوم فقط بتغيير الوصول إلى عمليات الإدارة على الحساب باستخدام مدخل Microsoft Azure وواجهات برمجة تطبيقات Azure Resource Manager.
لم يتغير الوصول إلى البيانات ولا يزال تتم إدارته بواسطة قوائم التحكم في الوصول. الاستثناء لهذا هو المستخدمين/المجموعات في دور المالكين. لم يعد المستخدمون/المجموعات التي تمت إزالتها من دور المالكين مستخدمين فائقين ويعود وصولهم للوصول إلى إعدادات ACL.
في جزء حساب Data Lake Storage Gen1، انقر فوق التحكم بالوصول (IAM).
في جزء التحكم في الوصول (IAM)، انقر فوق مجموعة (مجموعات) الأمان التي تريد إزالتها. انقر فوق Remove.
إزالة قوائم التحكم في الوصول لمجموعة الأمان من نظام ملفات Data Lake Storage Gen1
عند إزالة قوائم التحكم في الوصول لمجموعة الأمان من نظام ملفات Data Lake Storage Gen1، يمكنك تغيير الوصول إلى البيانات في حساب Data Lake Storage Gen1.
في جزء حساب Data Lake Storage Gen1، انقر فوق مستكشف البيانات.
في جزء Data Explorer ، انقر فوق المجلد الذي تريد إزالة قائمة التحكم بالوصول له، ثم انقر فوق Access. لإزالة قوائم التحكم في الوصول لملف، يجب أولا النقر فوق الملف لمعاينته ثم النقر فوق Access من شفرة معاينة الملف .
في جزء Access ، انقر فوق مجموعة الأمان التي تريد إزالتها. في جزء Access details ، انقر فوق Remove.
راجع أيضًا
- نظرة عامة على Azure Data Lake Storage Gen1
- نسخ البيانات من Azure Storage Blobs إلى Data Lake Storage Gen1
- استخدام Azure Data Lake Analytics مع Data Lake Storage Gen1
- استخدام Azure HDInsight مع Data Lake Storage Gen1
- بدء استخدام Data Lake Storage Gen1 باستخدام PowerShell
- بدء استخدام Data Lake Storage Gen1 باستخدام .NET SDK
- الوصول إلى سجلات التشخيص Data Lake Storage Gen1