Utiliser l’Explorateur Stockage Azure pour gérer les listes de contrôle d’accès dans Azure Data Lake Storage Gen2
Cet article explique comment utiliser l’Explorateur Stockage Azure pour gérer les listes de contrôle d’accès (ACL, Access Control List) sur les comptes de stockage pour lesquels un espace de noms hiérarchique (HNS) est activé.
Vous pouvez utiliser l’Explorateur Stockage pour afficher, puis mettre à jour les ACL des répertoires et des fichiers. L’héritage des listes ACL est déjà disponible pour les nouveaux éléments enfants créés sous un répertoire parent. Vous pouvez tout aussi bien appliquer de manière récursive les paramètres ACL au niveau des éléments enfants existants d’un répertoire parent, sans avoir à apporter ces modifications individuellement à chaque élément enfant.
Cet article explique comment modifier la liste ACL d’un fichier ou d’un répertoire, et comment appliquer les paramètres ACL de manière récursive aux répertoires enfants.
Prérequis
Un abonnement Azure. Consultez la page Obtention d’un essai gratuit d’Azure.
Un compte de stockage doté d’un espace de noms hiérarchique (HNS) activé. Pour créer un test, suivez ces instructions.
Explorateur Stockage Azure installé sur votre ordinateur local. Pour installer l’Explorateur Stockage Azure pour Windows, Macintosh ou Linux, consultez Explorateur Stockage Azure.
Vous devez disposer de l’une des autorisations de sécurité suivantes :
Votre identité d’utilisateur s’est vue attribuer le rôle Propriétaire des données Blob du stockage dans l’étendue du conteneur cible, du compte de stockage, du groupe de ressources parent ou de l’abonnement.
Vous êtes l’utilisateur propriétaire du conteneur, répertoire ou blob cible auquel vous envisagez d’appliquer les paramètres ACL.
Remarque
L’Explorateur Stockage utilise à la fois les points de terminaison d’objet blob (blob) et de Data Lake Storage Gen2 (DFS) lors de l’utilisation d’Azure Data Lake Storage Gen2. Si l’accès à Azure Data Lake Storage Gen2 est configuré à l’aide de points de terminaison privés, assurez-vous que deux points de terminaison privés sont créés pour le compte de stockage : un avec la sous-ressource cible blob et l’autre avec la sous-ressource cible dfs.
Se connecter à l’Explorateur Stockage
Lors du premier démarrage de l’Explorateur Stockage, la fenêtre Explorateur Stockage Microsoft Azure - Connexion au Stockage Azure s’affiche. Bien que l’Explorateur Stockage propose plusieurs méthodes de connexion aux comptes de stockage, une seule est actuellement prise en charge pour la gestion des ACL.
Dans le volet Sélectionner une ressource, sélectionnez Abonnement.
Dans le volet Sélectionner l’environnement Azure, sélectionnez un environnement Azure pour la connexion. Vous pouvez vous connecter à Azure global, à un cloud national ou à une instance d’Azure Stack. Sélectionnez ensuite Suivant.
L’Explorateur Stockage ouvre une page web de connexion.
Une fois connecté avec un compte Azure, le compte et les abonnements Azure associés à ce compte s’affichent sous GESTION DES COMPTES. Sélectionnez les abonnements Azure que vous souhaitez utiliser, puis Ouvrir l’Explorateur.
Une fois que la connexion est établie, l’Explorateur Stockage Azure se charge avec l’onglet Explorateur affiché. Cette vue vous donne accès à l’ensemble de vos comptes de stockage Azure, ainsi qu’au stockage local configuré via l’émulateur de stockage Azurite ou les environnements Azure Stack.
Gérer une liste de contrôle d’accès
Cliquez avec le bouton droit sur le conteneur, un répertoire ou un fichier, puis sélectionnez Gérer les listes de contrôle d’accès. La capture d’écran suivante montre le menu tel qu’il apparaît lorsque l’on clique avec le bouton droit sur un répertoire.
La boîte de dialogue Gérer l’accès permet de gérer les autorisations du propriétaire et du groupe de propriétaires. Elle vous permet également d’ajouter de nouveaux utilisateurs et groupes à la liste de contrôle d’accès pour lesquels vous pouvez ensuite gérer les autorisations.
Pour ajouter un nouvel utilisateur ou un nouveau groupe à la liste de contrôle d’accès, sélectionnez le bouton Ajouter. Renseignez ensuite l’entrée Microsoft Entra correspondante à ajouter à la liste, puis sélectionnez Ajouter. L’utilisateur ou le groupe apparaît alors dans le champ Utilisateurs et groupes, ce qui vous permet de commencer à gérer leurs autorisations.
Remarque
Créer un groupe de sécurité dans Microsoft Entra ID et mettre à jour les autorisations au niveau du groupe plutôt qu’au niveau des utilisateurs individuels est recommandé et constitue une bonne pratique. Pour plus d’informations sur cette recommandation et d’autres meilleures pratiques, consultez Modèle de contrôle d’accès dans Azure Data Lake Storage Gen2.
Utilisez les contrôles de type case à cocher pour définir l’accès et les listes ACL par défaut. Pour plus d’informations sur la différence entre ces types de listes ACL, consultez Types de listes ACL.
Application récursive de listes ACL
Il est possible d’appliquer récursivement des listes ACL au niveau des éléments enfants existants d’un répertoire parent sans avoir à apporter ces modifications individuellement à chaque élément enfant.
Pour appliquer des entrées ACL de manière récursive, cliquez avec le bouton droit sur le conteneur ou un répertoire, puis sélectionnez Propager les listes de contrôle d’accès. La capture d’écran suivante montre le menu tel qu’il apparaît lorsque l’on clique avec le bouton droit sur un répertoire.
Notes
L’option Diffuser les listes de contrôle d’accès n’est disponible que dans l’Explorateur Stockage 1.28.1 ou les versions ultérieures.
Étapes suivantes
En savoir plus sur le modèle d’autorisation Data Lake Storage Gen2.