Azure Storage Explorer を使用して Azure Data Lake Storage Gen2 での ACL を管理する

  • [アーティクル]

この記事では、Azure Storage Explorer を使用して、階層型名前空間 (HNS) が有効になっているストレージ アカウントでアクセス制御リスト (ACL) を管理する方法を説明します。

Storage Explorer を使用して、ディレクトリとファイルの ACL を表示して更新することができます。 ACL の継承は、親ディレクトリの下に作成された新しい子項目に対して既に利用可能です。 ただし、親ディレクトリの既存の子項目に対して ACL 設定を再帰的に適用することもできます。各子項目に対してこれらの変更を個別に行う必要はありません。

この記事では、ファイルまたはディレクトリの ACL を変更する方法と、ACL 設定を子ディレクトリに再帰的に適用する方法について説明します。

前提条件

  • Azure サブスクリプション。 Azure 無料試用版の取得に関するページを参照してください。

  • 階層型名前空間 (HNS) が有効になっているストレージ アカウント。 作成するには、こちらの手順に従います。

  • ローカル コンピューターにインストールされた Azure Storage Explorer。 Windows、Macintosh、または Linux 用の Azure Storage Explorer をインストールする方法については、「Azure Storage Explorer」をご覧ください。

  • 次のセキュリティのアクセス許可のいずれかを持っている必要があります。

    • ユーザー ID に、ターゲット コンテナー、ストレージ アカウント、親リソース グループ、またはサブスクリプションのいずれかのスコープでストレージ BLOB データ所有者ロールが割り当てられている。

    • ACL 設定を適用する予定のターゲット コンテナー、ディレクトリ、または BLOB の所有ユーザーである。

Note

Storage Explorer では、Azure Data Lake Storage Gen2 を操作するときに BLOB (blob) と Data Lake Storage Gen2 (dfs) のエンドポイントが使用されます。 Azure Data Lake Storage Gen2 へのアクセスがプライベート エンドポイントを使用して構成されている場合は、ストレージ アカウント用に 2 つのプライベート エンドポイント (1 つはターゲット サブリソース blob 用で、もう 1 つはターゲット サブリソース dfs 用) が作成されていることを確認します。

Storage Explorer にサインインする

Storage Explorer を初めて起動すると、Microsoft Azure Storage Explorer の [Azure Storage へ接続する] ウィンドウが表示されます。 Storage Explorer にはストレージ アカウントに接続する方法がいくつか用意されていますが、現在のところ、ACL の管理にサポートされている方法は 1 つのみです。

[リソースの選択] パネルで、 [サブスクリプション] を選択します。

Screenshot that shows the Microsoft Azure Storage Explorer - Select Resource pane

[Azure 環境の選択] パネルで、サインインする Azure 環境を選択します。 グローバル Azure、各国のクラウド、または Azure Stack インスタンスにサインインできます。 [次へ] を選択します。

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Select Azure Environment option.

Storage Explorer でサインインするための Web ページが開きます。

Azure アカウントでのサインインに成功すると、そのアカウントとそのアカウントに関連付けられている Azure サブスクリプションが、 [アカウント管理] の下に表示されます。 操作する Azure サブスクリプションを選択してから、[エクスプローラーを開く] を選択します。

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Account Management pane and Open Explorer button.

接続が完了すると、Azure Storage Explorer が読み込まれて [Explorer] タブが表示されます。 このビューには、すべての Azure ストレージ アカウント、および Azure ストレージ エミュレーターまたは Azure Stack 環境を使用して構成されたローカル ストレージの分析情報が表示されます。

Microsoft Azure Storage Explorer - Connect window

ACL を管理する

コンテナー、ディレクトリ、またはファイルを右クリックし、[アクセス制御リストの管理] を選択します。 次のスクリーンショットは、ディレクトリを右クリックしたときに表示されるメニューを示しています。

Right-clicking a directory in Azure Storage Explorer

[アクセスの管理] ダイアログ ボックスでは、所有者と所有者グループのアクセス許可を管理できます。 また、アクセス制御リストに新しいユーザーとグループを追加して、アクセス許可を管理することもできます。

Manage Access dialog box

新しいユーザーまたはグループをアクセス制御リストに追加するには、 [追加] ボタンを選択します。 次に、リストに追加する、対応する Microsoft Entra エントリを入力し、[追加] を選択します。 ユーザーまたはグループが [ユーザーとグループ:] フィールドに表示され、そのアクセス許可の管理を始めることができます。

Note

ベスト プラクティスであり、推奨される方法は、Microsoft Entra ID にセキュリティ グループを作成し、個々のユーザーではなくグループに対するアクセス許可を保守することです。 この推奨事項やその他のベスト プラクティスの詳細については、「Azure Data Lake Storage Gen2 のアクセス制御モデル」を参照してください。

チェック ボックス コントロールを使用して、アクセスと既定の ACL を設定します。 ACL のこれらの種類の違いの詳細については、「ACL の種類」を参照してください。

ACL を再帰的に適用する

また、親ディレクトリの既存の子項目に対して ACL エントリを再帰的に適用できます。各子項目に対してこれらの変更を個別に行う必要はありません。

ACL エントリを再帰的に適用するには、コンテナーまたはディレクトリを右クリックし、[アクセス制御リストの伝達] を選択します。 次のスクリーンショットは、ディレクトリを右クリックしたときに表示されるメニューを示しています。

Note

[アクセス制御リストの伝達] オプションは、Storage Explorer 1.28.1 以降のバージョンでのみ使用できます。

Right-clicking a directory and choosing the propagate access control setting

次のステップ

Data Lake Storage Gen2 アクセス許可モデルについて学びます。

Azure Data Lake Storage Gen2 のアクセス制御モデル