Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Schützen von Daten in Azure Data Lake Storage Gen1 ist ein Ansatz, der drei Schritte umfasst. Die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) sowie die Zugriffssteuerungslisten (Access Control Lists, ACLs) müssen so festgelegt werden, dass der Zugriff auf Daten für Benutzer und Sicherheitsgruppen vollständig aktiviert ist.
- Erstellen Sie zunächst Sicherheitsgruppen in Microsoft Entra ID. Diese Sicherheitsgruppen werden verwendet, um die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) im Azure-Portal zu implementieren.
- Weisen Sie die Microsoft Entra-Sicherheitsgruppen dem Data Lake Storage Gen1-Konto zu. Hiermit werden der Zugriff auf das Data Lake Storage Gen1-Konto über das Portal und die Verwaltungsvorgänge über das Portal oder APIs gesteuert.
- Weisen Sie die Microsoft Entra-Sicherheitsgruppen als Zugriffskontrolllisten (ACLs) im Dateisystem von Data Lake Storage Gen1 zu.
- Darüber hinaus können Sie auch einen IP-Adressbereich für Clients festlegen, die auf die Daten in Data Lake Storage Gen1 zugreifen können.
Dieser Artikel enthält eine Anleitung zur Verwendung des Azure-Portals für die oben genannten Aufgaben. Ausführliche Informationen dazu, wie Data Lake Storage Gen1 Sicherheit auf Konto- und Datenebene implementiert, finden Sie unter Sicherheit in Azure Data Lake Storage Gen1. Ausführliche Informationen zur Implementierung von ACLs in Data Lake Storage Gen1 finden Sie unter Übersicht über die Zugriffssteuerung in Data Lake Storage Gen1.
Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, benötigen Sie Folgendes:
- Ein Azure-Abonnement. Siehe "Kostenlose Azure-Testversion abrufen".
- Ein Data Lake Storage Gen1-Konto. Anweisungen zum Erstellen eines Speichers finden Sie unter "Erste Schritte mit Azure Data Lake Storage Gen1"
Erstellen von Sicherheitsgruppen in Microsoft Entra ID
Anweisungen zum Erstellen von Microsoft Entra-Sicherheitsgruppen und zum Hinzufügen von Benutzern zur Gruppe finden Sie unter Verwalten von Sicherheitsgruppen in microsoft Entra ID.
Hinweis
Sie können im Azure-Portal einer Gruppe in Microsoft Entra ID sowohl Benutzende als auch andere Gruppen hinzufügen. Um einer Gruppe jedoch einen Dienstprinzipal hinzuzufügen, verwenden Sie das PowerShell-Modul der Microsoft Entra-ID.
# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>
Zuweisen von Benutzern oder Sicherheitsgruppen zu Data Lake Storage Gen1-Konten
Wenn Sie Benutzer oder Sicherheitsgruppen Data Lake Storage Gen1-Konten zuweisen, steuern Sie den Zugriff auf die Verwaltungsvorgänge des Kontos, indem Sie das Azure-Portal und die Azure Resource Manager-APIs verwenden.
Öffnen Sie ein Data Lake Storage Gen1-Konto. Klicken Sie im linken Bereich auf "Alle Ressourcen", und klicken Sie dann im Blatt "Alle Ressourcen" auf den Kontonamen, dem Sie einen Benutzer oder eine Sicherheitsgruppe zuweisen möchten.
Klicken Sie in der Kontoübersicht von Data Lake Storage Gen1 auf Access Control (IAM). Auf dem Blatt werden standardmäßig die Abonnementbesitzer als Besitzer aufgeführt.
Klicken Sie im Blatt Access Control (IAM) auf "Hinzufügen ", um das Blatt "Berechtigungen hinzufügen" zu öffnen. Wählen Sie im Blatt "Berechtigungen hinzufügen " eine Rolle für den Benutzer/die Gruppe aus. Suchen Sie nach der Sicherheitsgruppe, die Sie zuvor in Microsoft Entra ID erstellt haben, und wählen Sie sie aus. Wenn Sie viele Benutzer und Gruppen durchsuchen müssen, verwenden Sie das Textfeld "Auswählen ", um nach dem Gruppennamen zu filtern.
Die Rolle "Besitzer" und "Mitwirkender " bieten Zugriff auf eine Vielzahl von Verwaltungsfunktionen auf dem Data Lake-Konto. Für Benutzer, die mit Daten im Datensee interagieren, aber dennoch Kontoverwaltungsinformationen anzeigen müssen, können Sie sie zur Rolle " Leser " hinzufügen. Der Umfang dieser Rollen ist auf die Verwaltungsvorgänge beschränkt, die sich auf das Data Lake Storage Gen1-Konto beziehen.
Für Datenvorgänge wird mithilfe von individuellen Dateisystemberechtigungen definiert, welche Möglichkeiten Benutzer haben. Aus diesem Grund kann ein Benutzer mit der Rolle „Leser“ nur Verwaltungseinstellungen anzeigen, die dem Konto zugeordnet sind. Potenziell kann er aber basierend auf den zugewiesenen Dateisystemberechtigungen Daten lesen und schreiben. Data Lake Storage Gen1-Dateisystemberechtigungen werden unter "Sicherheitsgruppe zuweisen" als ACLs zum Azure Data Lake Storage Gen1-Dateisystem beschrieben.
Wichtig
Nur die Rolle " Besitzer " aktiviert automatisch den Dateisystemzugriff. Der Mitwirkende, leser und alle anderen Rollen erfordern ACLs, um einen beliebigen Zugriff auf Ordner und Dateien zu ermöglichen. Die Rolle " Besitzer " stellt Überbenutzerdatei- und Ordnerberechtigungen bereit, die nicht über ACLs außer Kraft gesetzt werden können. Weitere Informationen zur Zuordnung von Azure RBAC-Richtlinien zum Datenzugriff finden Sie unter Azure RBAC für die Kontoverwaltung.
Wenn Sie eine Gruppe/einen Benutzer hinzufügen möchten, der nicht im Blatt "Berechtigungen hinzufügen " aufgeführt ist, können Sie sie einladen, indem Sie deren E-Mail-Adresse in das Textfeld "Auswählen " eingeben und dann in der Liste auswählen.
Klicken Sie auf "Speichern". Sie sollten sehen, dass die Sicherheitsgruppe wie unten hinzugefügt wurde.
Der Benutzer bzw. die Sicherheitsgruppe verfügt jetzt über Zugriff auf das Data Lake Storage Gen1-Konto. Wenn Sie bestimmten Benutzern Zugriff gewähren möchten, können Sie sie der Sicherheitsgruppe hinzufügen. Wenn Sie den Zugriff für einen Benutzer widerrufen möchten, können Sie sie auch aus der Sicherheitsgruppe entfernen. Sie können einem Konto auch mehrere Sicherheitsgruppen zuweisen.
Benutzern oder Sicherheitsgruppen als ACLs im Dateisystem von "Data Lake Storage Gen1" Zugriffsrechte zuweisen
Indem Sie dem Data Lake Storage Gen1-Dateisystem Benutzer oder Sicherheitsgruppen zuweisen, legen Sie die Zugriffssteuerung für die in Data Lake Storage Gen1 gespeicherten Daten fest.
Klicken Sie in Ihrem Data Lake Storage Gen1-Konto im Bereich auf Daten-Explorer.
Klicken Sie im Blatt "Daten-Explorer " auf den Ordner, für den Sie die ACL konfigurieren möchten, und klicken Sie dann auf Access. Zum Zuweisen von ACLs zu einer Datei müssen Sie zuerst auf die Datei klicken, um eine Vorschau anzuzeigen, und dann im Blatt "Dateivorschau" auf Access klicken.
Das Access-Panel listet die Besitzer und die bereits dem Stamm zugewiesenen Berechtigungen auf. Klicken Sie auf das Symbol "Hinzufügen" , um zusätzliche Zugriffs-ACLs hinzuzufügen.
Wichtig
Durch Festlegen von Zugriffsberechtigungen für eine einzelne Datei wird einem Benutzer oder einer Gruppe nicht zwingend der Zugriff auf diese Datei gewährt. Der zugewiesene Benutzer bzw. die zugewiesene Gruppe muss Zugriff auf den Pfad zu der Datei haben. Weitere Informationen und Beispiele finden Sie in allgemeinen Szenarien im Zusammenhang mit Berechtigungen.
Die Besitzer und alle anderen bieten UNIX-Stil-Zugriff, wobei Sie Lese-, Schreib-, Ausführungs- (RWX) für drei unterschiedliche Benutzerklassen angeben: Besitzer, Gruppe und andere.
Zugewiesene Berechtigungen entsprechen den POSIX ACLs, mit denen Sie Berechtigungen für bestimmte benannte Benutzer oder Gruppen festlegen können, die über den Besitzer oder die Gruppe der Datei hinausgehen.
Weitere Informationen finden Sie unter HDFS ACLs. Weitere Informationen zur Implementierung von ACLs in Data Lake Storage Gen1 finden Sie unter Access Control in Data Lake Storage Gen1.
Klicken Sie auf das Symbol "Hinzufügen" , um das Blatt "Berechtigungen zuweisen" zu öffnen. Klicken Sie in diesem Blatt auf " Benutzer oder Gruppe auswählen", und suchen Sie dann im Blatt " Benutzer oder Gruppe auswählen " nach der Sicherheitsgruppe, die Sie zuvor in microsoft Entra ID erstellt haben. Wenn Sie über viele Gruppen verfügen, in denen Sie suchen können, können Sie das Textfeld oben zum Filtern nach dem Gruppennamen verwenden. Klicken Sie auf die Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf "Auswählen".
Klicken Sie auf "Berechtigungen auswählen", wählen Sie die Berechtigungen aus, unabhängig davon, ob die Berechtigungen rekursiv angewendet werden sollen, und ob Sie die Berechtigungen als Zugriffs-ACL, Standard-ACL oder beides zuweisen möchten. Klicken Sie auf "OK".
Weitere Informationen zu Berechtigungen in Data Lake Storage Gen1 und Default/Access ACLs finden Sie unter Access Control in Data Lake Storage Gen1.
Nachdem Sie im Blatt "Berechtigungen auswählen" auf "OK" geklickt haben, wird die neu hinzugefügte Gruppe und die zugehörigen Berechtigungen nun im Access-Blatt aufgeführt.
"Wichtig
In der aktuellen Version können Sie bis zu 28 Einträge unter "Zugewiesene Berechtigungen" haben. Wenn Sie mehr als 28 Benutzer hinzufügen möchten, sollten Sie Sicherheitsgruppen erstellen, die Benutzer den Sicherheitsgruppen hinzufügen und für das Data Lake Storage Gen1-Konto den Zugriff auf diese Sicherheitsgruppen gewähren.
Falls erforderlich, können Sie die Zugriffsberechtigungen auch ändern, nachdem Sie die Gruppe hinzugefügt haben. Wählen oder deaktivieren Sie das Kontrollkästchen für jede Art von Berechtigung (Lesen, Schreiben, Ausführen) in Abhängigkeit davon, ob Sie die Berechtigung für die Sicherheitsgruppe entfernen oder zuweisen möchten. Klicken Sie auf " Speichern ", um die Änderungen zu speichern, oder auf "Verwerfen" , um die Änderungen rückgängig zu machen.
Festlegen des IP-Adressbereichs für den Datenzugriff
Mit Data Lake Storage Gen1 können Sie den Zugriff auf Ihren Datenspeicher auf Netzwerkebene noch weiter einschränken. Sie können die Firewall aktivieren, eine IP-Adresse angeben oder einen IP-Adressbereich für Ihre vertrauenswürdigen Clients definieren. Nach der Aktivierung können nur Clients, deren IP-Adressen innerhalb des definierten Bereichs liegen, eine Verbindung mit dem Speicher herstellen.
Entfernen von Sicherheitsgruppen für ein Data Lake Storage Gen1-Konto
Wenn Sie Sicherheitsgruppen aus Data Lake Storage Gen1-Konten entfernen, ändern Sie lediglich über das Azure-Portal und die Azure Resource Manager-APIs den Zugriff auf die Verwaltungsvorgänge des Kontos.
Der Zugriff auf Daten ist unverändert und wird weiterhin über die ACLs verwaltet. Eine Ausnahme bilden Benutzer oder Gruppen in der Rolle „Besitzer“. Benutzer oder Gruppen, die aus der Rolle „Besitzer“ entfernt wurden, sind keine Administratoren mehr, und ihr Zugriff beschränkt sich auf den Zugriff auf ACL-Einstellungen.
Klicken Sie im Bereich Ihres Data Lake Storage Gen1-Kontos auf Zugriffssteuerung (IAM).
Klicken Sie im Blatt Access Control (IAM) auf die Sicherheitsgruppe(n), die Sie entfernen möchten. Klicken Sie auf "Entfernen".
Entfernen von Sicherheitsgruppen-ACLs aus einem Data Lake Storage Gen1-Dateisystem
Wenn Sie die ACLs von Sicherheitsgruppen aus einem Data Lake Storage Gen1-Dateisystem entfernen, ändern Sie den Zugriff auf die Daten im Data Lake Storage Gen1-Konto.
Klicken Sie in Ihrem "Data Lake Storage Gen1"-Konto auf "Daten-Explorer".
Klicken Sie im Blatt "Daten-Explorer " auf den Ordner, für den Sie die ACL entfernen möchten, und klicken Sie dann auf Access. Um ACLs für eine Datei zu entfernen, müssen Sie zuerst auf die Datei klicken, um sie in der Vorschau anzuzeigen, und dann im Blatt "Dateivorschau" auf Access klicken.
Klicken Sie im Access-Blatt auf die Sicherheitsgruppe, die Sie entfernen möchten. Klicken Sie im Blatt "Zugangsdaten", auf "Entfernen".
Siehe auch
- Übersicht über Azure Data Lake Storage Gen1
- Kopieren von Daten aus Azure Storage Blobs in Data Lake Storage Gen1
- Verwenden von Azure Data Lake Analytics mit Data Lake Storage Gen1
- Verwenden von Azure HDInsight mit Data Lake Storage Gen1
- Erste Schritte mit Data Lake Storage Gen1 mithilfe von PowerShell
- Erste Schritte mit Data Lake Storage Gen1 mit .NET SDK
- Zugriffsdiagnoseprotokolle für Data Lake Storage Gen1