Zabezpečení dat uložených ve službě Azure Data Lake Storage Gen1

Zabezpečení dat v Azure Data Lake Storage Gen1 je třístupňový přístup. Řízení přístupu na základě role v Azure (Azure RBAC) i seznamy řízení přístupu (ACL) musí být nastavené tak, aby uživatelům a skupinám zabezpečení plně umožňovaly přístup k datům.

  1. Začněte vytvořením skupin zabezpečení v Azure Active Directory (Azure AD). Tyto skupiny zabezpečení se používají k implementaci řízení přístupu na základě role v Azure (Azure RBAC) v Azure Portal. Další informace najdete v tématu Azure RBAC.
  2. Přiřaďte Azure AD skupiny zabezpečení k účtu Data Lake Storage Gen1. To řídí přístup k účtu Data Lake Storage Gen1 z portálu a operace správy z portálu nebo rozhraní API.
  3. Přiřaďte skupiny zabezpečení Azure AD jako seznamy řízení přístupu (ACL) v systému souborů Data Lake Storage Gen1.
  4. Kromě toho můžete také nastavit rozsah IP adres pro klienty, kteří mají přístup k datům v Data Lake Storage Gen1.

Tento článek obsahuje pokyny, jak používat Azure Portal k provádění výše uvedených úloh. Podrobné informace o tom, jak Data Lake Storage Gen1 implementuje zabezpečení na úrovni účtu a dat, najdete v tématu Zabezpečení v Azure Data Lake Storage Gen1. Podrobné informace o implementaci seznamů ACL v Data Lake Storage Gen1 najdete v tématu Přehled Access Control v Data Lake Storage Gen1.

Požadavky

Je nutné, abyste před zahájením tohoto kurzu měli tyto položky:

Vytváření skupin zabezpečení v Azure Active Directory

Pokyny k vytváření skupin zabezpečení Azure AD a přidávání uživatelů do skupiny najdete v tématu Správa skupin zabezpečení v Azure Active Directory.

Poznámka

Uživatele i další skupiny můžete přidat do skupiny v Azure AD pomocí Azure Portal. Pokud ale chcete přidat instanční objekt do skupiny, použijte modul PowerShellu Azure AD.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Přiřazení uživatelů nebo skupin zabezpečení k účtům Data Lake Storage Gen1

Když přiřadíte uživatele nebo skupiny zabezpečení k Data Lake Storage Gen1 účtům, řídíte přístup k operacím správy účtu pomocí rozhraní API Azure Portal a Azure Resource Manager.

  1. Otevřete účet Data Lake Storage Gen1. V levém podokně klikněte na Všechny prostředky a potom v okně Všechny prostředky klikněte na název účtu, ke kterému chcete přiřadit uživatele nebo skupinu zabezpečení.

  2. V okně účtu Data Lake Storage Gen1 klikněte na Access Control (IAM). V okně se ve výchozím nastavení jako vlastník zobrazí vlastníci předplatného.

    Přiřazení skupiny zabezpečení k účtu Azure Data Lake Storage Gen1

  3. V okně Access Control (IAM) klikněte na Přidat a otevřete okno Přidat oprávnění. V okně Přidat oprávnění vyberte roli pro uživatele nebo skupinu. Vyhledejte skupinu zabezpečení, kterou jste vytvořili dříve v Azure Active Directory, a vyberte ji. Pokud máte hodně uživatelů a skupin, od kterých chcete hledat, vyfiltrujte název skupiny pomocí textového pole Vybrat .

    Přidání role pro uživatele

    Role Vlastník a Přispěvatel poskytují přístup k různým funkcím správy v účtu Data Lake. Pro uživatele, kteří budou pracovat s daty v datovém jezeře, ale stále potřebují zobrazit informace o správě účtu, můžete je přidat do role Čtenář . Rozsah těchto rolí je omezen na operace správy související s účtem Data Lake Storage Gen1.

    Pro operace s daty definují jednotlivá oprávnění systému souborů, co můžou uživatelé dělat. Uživatel, který má roli Čtenář, proto může zobrazit pouze nastavení správy přidružené k účtu, ale může potenciálně číst a zapisovat data na základě oprávnění systému souborů, která jsou mu přiřazena. Data Lake Storage Gen1 oprávnění systému souborů jsou popsána v tématu Přiřazení skupiny zabezpečení jako seznamů ACL k systému souborů Azure Data Lake Storage Gen1.

    Důležité

    Přístup k systému souborů automaticky povoluje jenom role vlastníka . Role Přispěvatel, Čtenář a všechny ostatní role vyžadují seznamy ACL, aby bylo možné povolit jakoukoli úroveň přístupu ke složkám a souborům. Role Vlastník poskytuje oprávnění superuživatele pro soubory a složky, která nelze přepsat prostřednictvím seznamů ACL. Další informace o tom, jak se zásady Azure RBAC mapuje na přístup k datům, najdete v tématu Azure RBAC pro správu účtů.

  4. Pokud chcete přidat skupinu nebo uživatele, který není uvedený v okně Přidat oprávnění , můžete je pozvat tak, že zadáte jejich e-mailovou adresu do textového pole Vybrat a pak ho vyberete ze seznamu.

    Přidání skupiny zabezpečení

  5. Klikněte na Uložit. Měla by se zobrazit přidaná skupina zabezpečení, jak je znázorněno níže.

    Přidaná skupina zabezpečení

  6. Váš uživatel nebo skupina zabezpečení teď mají přístup k účtu Data Lake Storage Gen1. Pokud chcete poskytnout přístup konkrétním uživatelům, můžete je přidat do skupiny zabezpečení. Podobně platí, že pokud chcete odvolat přístup pro uživatele, můžete ho odebrat ze skupiny zabezpečení. K účtu můžete také přiřadit několik skupin zabezpečení.

Přiřazení uživatelů nebo skupin zabezpečení jako seznamů ACL k systému souborů Data Lake Storage Gen1

Přiřazením skupin uživatelů a zabezpečení k systému souborů Data Lake Storage Gen1 nastavíte řízení přístupu k datům uloženým v Data Lake Storage Gen1.

  1. V okně účtu Data Lake Storage Gen1 klikněte na Data Explorer.

    Zobrazení dat přes Data Explorer

  2. V okně Data Explorer klikněte na složku, pro kterou chcete nakonfigurovat seznam ACL, a potom klikněte na Přístup. Pokud chcete k souboru přiřadit seznamy ACL, musíte nejdřív kliknout na soubor a zobrazit náhled souboru a potom kliknout na Přístup v okně Náhled souboru .

    Nastavení seznamů ACL v systému souborů Data Lake Storage Gen1

  3. V okně Access se zobrazí seznam vlastníků a přiřazených oprávnění, která jsou již přiřazena kořenovému adresáři. Kliknutím na ikonu Přidat přidejte další přístupové seznamy ACL.

    Důležité

    Nastavení přístupových oprávnění pro jeden soubor nemusí nutně udělit uživateli nebo skupině přístup k danému souboru. Cesta k souboru musí být přístupná přiřazeným uživatelům nebo skupinám. Další informace a příklady najdete v tématu Běžné scénáře související s oprávněními.

    Výpis standardního a vlastního přístupu

    • Vlastníci a všichni ostatní poskytují přístup ve stylu UNIX, kde zadáte čtení, zápis, spouštění (rwx) pro tři různé třídy uživatelů: vlastník, skupina a další.

    • Přiřazená oprávnění odpovídají seznamům ACL POSIX, které umožňují nastavit oprávnění pro konkrétní pojmenované uživatele nebo skupiny nad rámec vlastníka nebo skupiny souboru.

      Další informace najdete v tématu Seznamy ACL pro HDFS. Další informace o implementaci seznamů ACL v Data Lake Storage Gen1 najdete v tématu Access Control v Data Lake Storage Gen1.

  4. Kliknutím na ikonu Přidat otevřete okno Přiřadit oprávnění . V tomto okně klikněte na Vybrat uživatele nebo skupinu a pak v okně Vybrat uživatele nebo skupinu vyhledejte skupinu zabezpečení, kterou jste vytvořili dříve v Azure Active Directory. Pokud máte hodně skupin, ze kterých chcete hledat, vyfiltrujte název skupiny pomocí textového pole v horní části. Klikněte na skupinu, kterou chcete přidat, a pak klikněte na Vybrat.

    Přidání skupiny

  5. Klikněte na Vybrat oprávnění, vyberte oprávnění, jestli se mají oprávnění použít pro rekurzivně a jestli chcete oprávnění přiřadit jako přístupový seznam ACL, výchozí seznam ACL nebo obojí. Klikněte na OK.

    Snímek obrazovky s oknem Přiřadit oprávnění se zaškrtnutou možností Vybrat oprávnění a oknem Vybrat oprávnění se zaškrtnutou možností OK

    Další informace o oprávněních v Data Lake Storage Gen1 a výchozích nebo přístupových seznamech ACL najdete v tématu Access Control v Data Lake Storage Gen1.

  6. Po kliknutí na OK v okně Vybrat oprávnění se nově přidaná skupina a přidružená oprávnění zobrazí v okně Přístup .

    Snímek obrazovky s oknem Access se zaškrtnutou možností Příprava dat

    Důležité

    V aktuální verzi můžete mít až 28 položek v části Přiřazená oprávnění. Pokud chcete přidat více než 28 uživatelů, měli byste vytvořit skupiny zabezpečení, přidat uživatele do skupin zabezpečení a přidat přístup k těmto skupinám zabezpečení pro účet Data Lake Storage Gen1.

  7. V případě potřeby můžete po přidání skupiny také upravit přístupová oprávnění. Zrušte zaškrtnutí nebo zaškrtněte políčka pro každý typ oprávnění (Číst, Zapisovat, Spustit) podle toho, jestli chcete odebrat nebo přiřadit oprávnění skupině zabezpečení. Kliknutím na Uložit změny uložte, nebo kliknutím na Zahodit změny vrátíte zpět.

Nastavení rozsahu IP adres pro přístup k datům

Data Lake Storage Gen1 umožňuje dále uzamknout přístup k úložišti dat na úrovni sítě. Můžete povolit bránu firewall, zadat IP adresu nebo definovat rozsah IP adres pro důvěryhodné klienty. Po povolení se k úložišti můžou připojit jenom klienti, kteří mají IP adresy v definovaném rozsahu.

Nastavení brány firewall a přístup k protokolu IP

Odebrání skupin zabezpečení pro účet Data Lake Storage Gen1

Když odeberete skupiny zabezpečení z účtů Data Lake Storage Gen1, změníte přístup k operacím správy účtu jenom pomocí rozhraní API Azure Portal a Azure Resource Manager.

Přístup k datům je beze změny a stále se spravuje pomocí přístupových seznamů ACL. Výjimkou jsou uživatelé nebo skupiny v roli Vlastníci. Uživatelé nebo skupiny odebrané z role Vlastníci už nejsou superuživatelé a jejich přístup se vrátí k nastavení seznamu ACL.

  1. V okně účtu Data Lake Storage Gen1 klikněte na Access Control (IAM).

    Přiřazení skupiny zabezpečení k účtu Data Lake Storage Gen1

  2. V okně Access Control (IAM) klikněte na skupiny zabezpečení, které chcete odebrat. Klikněte na Odebrat.

    Odebraná skupina zabezpečení

Odebrání seznamů ACL skupiny zabezpečení ze systému souborů Data Lake Storage Gen1

Když odeberete seznamy ACL skupiny zabezpečení ze systému souborů Data Lake Storage Gen1, změníte přístup k datům v účtu Data Lake Storage Gen1.

  1. V okně účtu Data Lake Storage Gen1 klikněte na Data Explorer.

    Vytváření adresářů v účtu Data Lake Storage Gen1

  2. V okně Data Explorer klikněte na složku, pro kterou chcete seznam ACL odebrat, a potom klikněte na Přístup. Pokud chcete odebrat seznamy ACL pro soubor, musíte nejdřív kliknout na soubor a zobrazit náhled souboru a potom kliknout na Přístup v okně Náhled souboru .

    Nastavení seznamů ACL v systému souborů Data Lake Storage Gen1

  3. V okně Access klikněte na skupinu zabezpečení, kterou chcete odebrat. V okně Access details (Podrobnosti o přístupu ) klikněte na Remove (Odebrat).

    Snímek obrazovky s oknem Accessu se zaškrtnutou možností Příprava dat a oknem Podrobnosti o accessu se vyvolanou možností Odebrat

Viz také