Verwenden von Azure Storage-Explorer zum Verwalten von Zugriffssteuerungslisten in Azure Data Lake Storage Gen2
In diesem Artikel wird beschrieben, wie Sie mit Azure Storage-Explorer Zugriffssteuerungslisten (Access Control Lists, ACLs) in Speicherkonten verwalten, für die der hierarchische Namespace (HNS) aktiviert ist.
Sie können mit Storage-Explorer die Zugriffssteuerungslisten von Verzeichnissen und Dateien anzeigen und aktualisieren. Die Vererbung von Zugriffssteuerungslisten (ACLs) ist für neue untergeordnete Elemente, die unter einem übergeordneten Verzeichnis erstellt werden, bereits verfügbar. Sie können jedoch auch Einstellungen von Zugriffssteuerungslisten rekursiv auf die vorhandenen untergeordneten Elemente eines übergeordneten Verzeichnisses anwenden, ohne diese Änderungen für jedes untergeordnete Element einzeln vornehmen zu müssen.
In diesem Artikel erfahren Sie, wie Sie die Zugriffssteuerungslisten von Dateien oder Verzeichnissen ändern und die Einstellungen der Zugriffssteuerungslisten rekursiv auf untergeordnete Verzeichnisse anwenden.
Voraussetzungen
Ein Azure-Abonnement. Siehe Kostenlose Azure-Testversion.
Ein Speicherkonto, für das der hierarchische Namespace aktiviert ist. Befolgen Sie diese Anleitung für die Erstellung.
Azure Storage-Explorer muss auf dem lokalen Computer installiert sein. Informationen zum Installieren von Azure Storage-Explorer für Windows, Macintosh oder Linux finden Sie unter Azure Storage-Explorer.
Sie benötigen eine der folgenden Sicherheitsberechtigungen:
Ihrer Benutzeridentität muss die Rolle Besitzer von Speicherblobdaten entweder im Umfang des Zielcontainers, des Speicherkontos, der übergeordneten Ressourcengruppe oder des Abonnements zugewiesen sein.
Sie müssen Besitzer des Zielcontainers, -verzeichnisses oder -blobs sein, in dem Sie die Einstellungen für die Zugriffssteuerungsliste anwenden möchten.
Hinweis
Storage Explorer nutzt bei Verwendung von Azure Data Lake Storage Gen2 sowohl den Blob-Endpunkt (blob) als auch den Data Lake Storage Gen2-Endpunkt (dfs). Wenn der Zugriff auf Azure Data Lake Storage Gen2 über private Endpunkte konfiguriert wird, stellen Sie sicher, dass zwei private Endpunkte für das Speicherkonto erstellt werden: einer mit der Zielunterressource blob
und der andere mit der Zielunterressource dfs
.
Anmelden bei Storage-Explorer
Nach dem erstmaligen Start von Storage Explorer erscheint das Fenster Microsoft Azure Storage Explorer - Verbindung zu Azure Storage. Obwohl der Storage-Explorer mehrere Möglichkeiten zur Verbindung mit Speicherkonten bietet, wird derzeit nur eine Möglichkeit zur Verwaltung von ACLs unterstützt.
Wählen Sie im Panel Ressource auswählen die Option Abonnement aus.
Wählen Sie im Panel Azure-Umgebung auswählen eine Azure-Umgebung aus, bei der Sie sich anmelden möchten. Sie können sich bei Azure weltweit, bei einer nationalen Cloud oder einer Azure Stack-Instanz anmelden. Wählen Sie Weiteraus.
Storage-Explorer öffnet eine Webseite, auf der Sie sich anmelden können.
Nach erfolgreicher Anmeldung bei einem Azure-Konto werden unter KONTOVERWALTUNG das Konto und die mit diesem Konto verknüpften Azure Stack-Abonnements angezeigt. Wählen Sie die Azure-Abonnements aus, die Sie verwenden möchten, und klicken Sie dann auf Explorer öffnen.
Nach Abschluss des Verbindungsvorgangs wird Azure Storage-Explorer geladen, und die Registerkarte Explorer wird angezeigt. So erhalten Sie einen Einblick in Ihre gesamten Azure Storage-Konten und den lokalen Speicher, der über den Azurite-Speicheremulator oder Azure Stack-Umgebungen konfiguriert wurde.
Verwalten einer Zugriffssteuerungsliste
Klicken Sie mit der rechten Maustaste auf einen Container, ein Verzeichnis oder eine Datei, und wählen Sie dann Zugriffssteuerungslisten verwalten aus. Der folgende Screenshot zeigt das Menü, das angezeigt wird, wenn Sie mit der rechten Maustaste auf ein Verzeichnis klicken.
Das Dialogfeld Zugriff verwalten ermöglicht Ihnen, Berechtigungen für den Besitzer und die Besitzergruppe zu verwalten. Sie können auch neue Benutzer und Gruppen zur Zugriffssteuerungsliste hinzufügen, für die Sie dann die Berechtigungen verwalten können.
Um der Zugriffssteuerungsliste einen neuen Benutzer oder eine Gruppe hinzuzufügen, wählen Sie die Schaltfläche Hinzufügen aus. Geben Sie den zugehörigen Microsoft Entra-Eintrag ein, den Sie der Liste hinzufügen möchten, und wählen Sie dann Hinzufügen aus. Der Benutzer oder die Gruppe erscheint nun im Feld Benutzer und Gruppen: , sodass Sie mit der Verwaltung ihrer Berechtigungen beginnen können.
Hinweis
Es ist eine Best Practice, und es wird empfohlen, eine Sicherheitsgruppe in Microsoft Entra ID zu erstellen und die Berechtigungen für die Gruppe und nicht für einzelne Benutzer zu verwalten. Einzelheiten zu dieser Empfehlung sowie zu anderen bewährten Methoden finden Sie unter Zugriffssteuerungsmodell in Azure Data Lake Storage Gen2.
Verwenden Sie die Kontrollkästchen, um den Zugriff und Standard-ACLs festzulegen. Weitere Informationen zum Unterschied zwischen diesen Arten von ACLs finden Sie unter Typen von ACLs.
Rekursives Anwenden von Zugriffssteuerungslisten
Sie können Einträge aus Zugriffssteuerungslisten rekursiv auf die vorhandenen untergeordneten Elemente eines übergeordneten Verzeichnisses anwenden, ohne diese Änderungen für jedes untergeordnete Element einzeln vornehmen zu müssen.
Wenn Sie ACL-Einträge rekursiv anwenden möchten, klicken Sie mit der rechten Maustaste auf den Container oder ein Verzeichnis, und wählen Sie dann Zugriffssteuerungslisten weitergeben aus. Der folgende Screenshot zeigt das Menü, das angezeigt wird, wenn Sie mit der rechten Maustaste auf ein Verzeichnis klicken.
Hinweis
Die Option Zugriffssteuerungslisten weitergeben ist nur in Storage-Explorer 1.28.1 oder höheren Versionen verfügbar.
Nächste Schritte
Erfahren Sie mehr über das Berechtigungsmodell von Data Lake Storage Gen2.