Zabezpečení dat uložených ve službě Azure Data Lake Storage Gen1

Článek
03/26/2018

Zabezpečení dat v Azure Data Lake Storage Gen1 je přístup se třemi kroky. Řízení přístupu na základě role v Azure (Azure RBAC) i seznamy řízení přístupu (seznamy ACL) musí být nastavené tak, aby uživatelům a skupinám zabezpečení plně umožňovaly přístup k datům.

Začněte vytvořením skupin zabezpečení v Microsoft Entra ID. Tyto skupiny zabezpečení se používají k implementaci řízení přístupu na základě role v Azure (Azure RBAC) v Azure Portal.
Přiřaďte Microsoft Entra skupiny zabezpečení k účtu Data Lake Storage Gen1. Tím se řídí přístup k účtu Data Lake Storage Gen1 z portálu a operace správy z portálu nebo rozhraní API.
Přiřaďte Microsoft Entra skupiny zabezpečení jako seznamy řízení přístupu (ACL) v systému souborů Data Lake Storage Gen1.
Kromě toho můžete také nastavit rozsah IP adres pro klienty, kteří mají přístup k datům v Data Lake Storage Gen1.

Tento článek obsahuje pokyny k provedení výše uvedených úloh pomocí Azure Portal. Podrobné informace o tom, jak Data Lake Storage Gen1 implementovat zabezpečení na úrovni účtu a dat, najdete v tématu Zabezpečení v Azure Data Lake Storage Gen1. Podrobné informace o tom, jak se seznamy ACL implementují v Data Lake Storage Gen1, najdete v tématu Přehled Access Control v Data Lake Storage Gen1.

Požadavky

Je nutné, abyste před zahájením tohoto kurzu měli tyto položky:

Předplatné Azure. Viz Získání bezplatné zkušební verze Azure.
Účet Data Lake Storage Gen1. Pokyny k jeho vytvoření najdete v tématu Začínáme s Azure Data Lake Storage Gen1.

Vytváření skupin zabezpečení v Microsoft Entra ID

Pokyny k vytváření skupin zabezpečení Microsoft Entra a přidávání uživatelů do skupiny najdete v tématu Správa skupin zabezpečení v Microsoft Entra ID.

Poznámka

Uživatele i další skupiny můžete do skupiny v Microsoft Entra ID přidat pomocí Azure Portal. Pokud ale chcete přidat instanční objekt do skupiny, použijte modul PowerShellu Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Přiřazení uživatelů nebo skupin zabezpečení k účtům Data Lake Storage Gen1

Při přiřazování uživatelů nebo skupin zabezpečení k účtům Data Lake Storage Gen1 řídíte přístup k operacím správy účtu pomocí rozhraní API Azure Portal a Azure Resource Manager.

Otevřete účet Data Lake Storage Gen1. V levém podokně klikněte na Všechny prostředky a potom v okně Všechny prostředky klikněte na název účtu, ke kterému chcete přiřadit uživatele nebo skupinu zabezpečení.
V okně účtu Data Lake Storage Gen1 klikněte na Access Control (IAM). V okně se ve výchozím nastavení jako vlastník zobrazí vlastníci předplatného.
V okně Access Control (IAM) kliknutím na Přidat otevřete okno Přidat oprávnění. V okně Přidat oprávnění vyberte roli pro uživatele nebo skupinu. Vyhledejte skupinu zabezpečení, kterou jste vytvořili dříve v Microsoft Entra ID, a vyberte ji. Pokud máte hodně uživatelů a skupin, od kterých chcete hledat, vyfiltrujte název skupiny pomocí textového pole Vybrat .

Role Vlastník a Přispěvatel poskytují přístup k různým funkcím správy v účtu Data Lake. Pro uživatele, kteří budou pracovat s daty v datovém jezeře, ale stále potřebují zobrazit informace o správě účtu, můžete je přidat do role Čtenář . Rozsah těchto rolí je omezený na operace správy související s účtem Data Lake Storage Gen1.

U datových operací jednotlivá oprávnění systému souborů definují, co můžou uživatelé dělat. Uživatel s rolí Čtenář proto může jenom zobrazit nastavení správy přidružená k účtu, ale může číst a zapisovat data na základě přiřazených oprávnění systému souborů. Data Lake Storage Gen1 oprávnění k systému souborů jsou popsána v tématu Přiřazení skupiny zabezpečení jako seznamů ACL k systému souborů Azure Data Lake Storage Gen1.

Důležité

Přístup k systému souborů automaticky umožňuje jenom role Vlastník . Role Přispěvatel, Čtenář a všechny ostatní role vyžadují seznamy ACL, aby umožňovaly přístup ke složkám a souborům na libovolné úrovni. Role Vlastník poskytuje oprávnění superuživatele pro soubory a složky, která se nedají přepsat prostřednictvím seznamů ACL. Další informace o mapování zásad Azure RBAC na přístup k datům najdete v tématu Azure RBAC pro správu účtů.
Pokud chcete přidat skupinu nebo uživatele, kteří nejsou uvedeni v okně Přidat oprávnění , můžete je pozvat tak, že zadáte jejich e-mailovou adresu do textového pole Vybrat a pak je vyberete ze seznamu.
Klikněte na Uložit. Měli byste vidět přidanou skupinu zabezpečení, jak je znázorněno níže.
Váš uživatel nebo skupina zabezpečení teď mají přístup k účtu Data Lake Storage Gen1. Pokud chcete poskytnout přístup konkrétním uživatelům, můžete je přidat do skupiny zabezpečení. Podobně platí, že pokud chcete odvolat přístup pro uživatele, můžete ho odebrat ze skupiny zabezpečení. K účtu můžete také přiřadit několik skupin zabezpečení.

Přiřazení uživatelů nebo skupin zabezpečení jako seznamů ACL k systému souborů Data Lake Storage Gen1

Přiřazením skupin uživatelů nebo zabezpečení k systému souborů Data Lake Storage Gen1 nastavíte řízení přístupu k datům uloženým v Data Lake Storage Gen1.

V okně účtu Data Lake Storage Gen1 klikněte na Data Explorer.
V okně Data Explorer klikněte na složku, pro kterou chcete nakonfigurovat seznam ACL, a potom klikněte na Přístup. Pokud chcete k souboru přiřadit seznamy ACL, musíte nejdřív kliknout na soubor a zobrazit náhled souboru a potom kliknout na Přístup v okně Náhled souboru .
V okně Přístup jsou uvedeni vlastníci a přiřazená oprávnění, která jsou už přiřazená kořenovému adresáři. Kliknutím na ikonu Přidat přidejte další přístupové seznamy ACL.

Důležité

Nastavení přístupových oprávnění pro jeden soubor nemusí nutně uživateli nebo skupině udělit přístup k danému souboru. Cesta k souboru musí být přístupná přiřazeným uživatelům nebo skupinám. Další informace a příklady najdete v tématu Běžné scénáře související s oprávněními.
- Vlastníci a všichni ostatní poskytují přístup ve stylu UNIX, kde můžete zadat čtení, zápis, spuštění (rwx) pro tři různé třídy uživatelů: vlastník, skupina a další.
- Přiřazená oprávnění odpovídají seznamům ACL poSIX, které umožňují nastavit oprávnění pro konkrétní pojmenované uživatele nebo skupiny nad rámec vlastníka nebo skupiny souboru.
  
  Další informace najdete v tématu Seznamy ACL pro HDFS. Další informace o způsobu implementace seznamů ACL v Data Lake Storage Gen1 najdete v tématu Access Control v Data Lake Storage Gen1.
Kliknutím na ikonu Přidat otevřete okno Přiřadit oprávnění . V tomto okně klikněte na Vybrat uživatele nebo skupinu a potom v okně Vybrat uživatele nebo skupinu vyhledejte skupinu zabezpečení, kterou jste vytvořili dříve v Microsoft Entra ID. Pokud máte hodně skupin, ze kterých můžete hledat, použijte textové pole v horní části a vyfiltrujte název skupiny. Klikněte na skupinu, kterou chcete přidat, a pak klikněte na Vybrat.
Klikněte na Vybrat oprávnění, vyberte oprávnění, jestli se mají oprávnění použít pro rekurzivně a jestli chcete oprávnění přiřadit jako přístupový seznam ACL, výchozí seznam ACL nebo obojí. Klikněte na OK.

Další informace o oprávněních v Data Lake Storage Gen1 a výchozích nebo přístupových seznamech ACL najdete v tématu Access Control v Data Lake Storage Gen1.
Po kliknutí na OK v okně Vybrat oprávnění se nově přidaná skupina a přidružená oprávnění zobrazí v okně Přístup .

Důležité

V aktuální verzi můžete mít až 28 položek v části Přiřazená oprávnění. Pokud chcete přidat více než 28 uživatelů, měli byste vytvořit skupiny zabezpečení, přidat uživatele do skupin zabezpečení a přidat přístup k těmto skupinám zabezpečení pro účet Data Lake Storage Gen1.
V případě potřeby můžete po přidání skupiny také upravit přístupová oprávnění. Zrušte zaškrtnutí nebo zaškrtněte políčka u každého typu oprávnění (Čtení, Zápis, Spustit) podle toho, jestli chcete odebrat nebo přiřadit toto oprávnění skupině zabezpečení. Kliknutím na Uložit změny uložte, nebo kliknutím na Zahodit změny vrátíte zpět.

Nastavení rozsahu IP adres pro přístup k datům

Data Lake Storage Gen1 umožňuje dále uzamknout přístup k úložišti dat na úrovni sítě. Můžete povolit bránu firewall, zadat IP adresu nebo definovat rozsah IP adres pro důvěryhodné klienty. Po povolení se k úložišti můžou připojit jenom klienti, kteří mají IP adresy v definovaném rozsahu.

Nastavení brány firewall a přístup k protokolu IP

Odebrání skupin zabezpečení pro účet Data Lake Storage Gen1

Když odeberete skupiny zabezpečení z účtů Data Lake Storage Gen1, změníte přístup k operacím správy účtu jenom pomocí rozhraní API Azure Portal a Azure Resource Manager.

Přístup k datům se nemění a stále ho spravují přístupové seznamy ACL. Výjimkou jsou uživatelé nebo skupiny v roli Vlastníci. Uživatelé nebo skupiny odebrané z role Vlastníci už nejsou superuživatelé a jejich přístup se vrátí k nastavení seznamu ACL.

V okně účtu Data Lake Storage Gen1 klikněte na Access Control (IAM).
V okně Access Control (IAM) klikněte na skupiny zabezpečení, které chcete odebrat. Klikněte na Odebrat.

.

Odebrání seznamů ACL skupiny zabezpečení ze systému souborů Data Lake Storage Gen1

Když odeberete seznamy ACL skupiny zabezpečení ze systému souborů Data Lake Storage Gen1, změníte přístup k datům v účtu Data Lake Storage Gen1.

V okně účtu Data Lake Storage Gen1 klikněte na Data Explorer.
V okně Data Explorer klikněte na složku, pro kterou chcete seznam ACL odebrat, a potom klikněte na Přístup. Pokud chcete odebrat seznamy ACL pro soubor, musíte nejdřív kliknout na soubor a zobrazit náhled souboru a potom kliknout na Přístup v okně Náhled souboru .
V okně Access klikněte na skupinu zabezpečení, kterou chcete odebrat. V okně Access details (Podrobnosti o přístupu ) klikněte na Remove (Odebrat).

Sdílet prostřednictvím