Udostępnij za pośrednictwem


Securing data stored in Azure Data Lake Storage Gen1 (Zabezpieczanie danych przechowywanych w usłudze Azure Data Lake Storage Gen1)

Zabezpieczanie danych w usłudze Azure Data Lake Storage Gen1 to podejście trzyetapowe. Zarówno kontrola dostępu oparta na rolach (RBAC) platformy Azure, jak i listy kontroli dostępu (ACL) platformy Azure muszą być ustawione tak, aby w pełni umożliwić dostęp do danych dla użytkowników i grup zabezpieczeń.

  1. Zacznij od utworzenia grup zabezpieczeń w Tożsamość Microsoft Entra. Te grupy zabezpieczeń są używane do implementowania kontroli dostępu na podstawie ról (RBAC) platformy Azure w Azure Portal.
  2. Przypisz grupy zabezpieczeń Microsoft Entra do konta Data Lake Storage Gen1. Kontroluje to dostęp do konta Data Lake Storage Gen1 z poziomu portalu i operacji zarządzania z poziomu portalu lub interfejsów API.
  3. Przypisz grupy zabezpieczeń Microsoft Entra jako listy kontroli dostępu (ACL) w systemie plików Data Lake Storage Gen1.
  4. Ponadto można również ustawić zakres adresów IP dla klientów, którzy mogą uzyskiwać dostęp do danych w Data Lake Storage Gen1.

Ten artykuł zawiera instrukcje dotyczące używania Azure Portal do wykonywania powyższych zadań. Aby uzyskać szczegółowe informacje na temat sposobu, w jaki Data Lake Storage Gen1 implementuje zabezpieczenia na poziomie konta i danych, zobacz Zabezpieczenia w usłudze Azure Data Lake Storage Gen1. Aby uzyskać szczegółowe informacje na temat sposobu implementacji list ACL w Data Lake Storage Gen1, zobacz Omówienie Access Control w Data Lake Storage Gen1.

Wymagania wstępne

Przed przystąpieniem do wykonania kroków opisanych w tym samouczku należy dysponować następującymi elementami:

Tworzenie grup zabezpieczeń w Tożsamość Microsoft Entra

Aby uzyskać instrukcje dotyczące tworzenia Microsoft Entra grup zabezpieczeń i dodawania użytkowników do grupy, zobacz Zarządzanie grupami zabezpieczeń w Tożsamość Microsoft Entra.

Uwaga

Możesz dodać użytkowników i inne grupy do grupy w Tożsamość Microsoft Entra przy użyciu Azure Portal. Jednak aby dodać jednostkę usługi do grupy, użyj modułu programu PowerShell Tożsamość Microsoft Entra.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Przypisywanie użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1

Po przypisaniu użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1 można kontrolować dostęp do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

  1. Otwórz konto Data Lake Storage Gen1. W okienku po lewej stronie kliknij pozycję Wszystkie zasoby, a następnie w bloku Wszystkie zasoby kliknij nazwę konta, do którego chcesz przypisać użytkownika lub grupę zabezpieczeń.

  2. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami). Blok domyślnie wyświetla listę właścicieli subskrypcji jako właściciela.

    Przypisywanie grupy zabezpieczeń do konta usługi Azure Data Lake Storage Gen1

  3. W bloku Access Control (zarządzanie dostępem i tożsamościami) kliknij przycisk Dodaj, aby otworzyć blok Dodawanie uprawnień. W bloku Dodawanie uprawnień wybierz rolę dla użytkownika/grupy. Wyszukaj utworzoną wcześniej grupę zabezpieczeń w Tożsamość Microsoft Entra i wybierz ją. Jeśli masz wielu użytkowników i grupy do wyszukania, użyj pola tekstowego Wybierz , aby odfiltrować nazwę grupy.

    Dodawanie roli użytkownika Dodaj

    Rola Właściciel i Współautor zapewniają dostęp do różnych funkcji administracyjnych na koncie usługi Data Lake. W przypadku użytkowników, którzy będą wchodzić w interakcje z danymi w usłudze Data Lake, ale nadal muszą wyświetlać informacje o zarządzaniu kontami, możesz dodać je do roli Czytelnik . Zakres tych ról jest ograniczony do operacji zarządzania związanych z kontem Data Lake Storage Gen1.

    W przypadku operacji na danych poszczególne uprawnienia systemu plików definiują, co użytkownicy mogą robić. W związku z tym użytkownik mający rolę Czytelnik może wyświetlać tylko ustawienia administracyjne skojarzone z kontem, ale może potencjalnie odczytywać i zapisywać dane na podstawie przypisanych do nich uprawnień systemu plików. Data Lake Storage Gen1 uprawnienia systemu plików opisano w temacie Przypisywanie grupy zabezpieczeń jako list ACL do systemu plików Azure Data Lake Storage Gen1.

    Ważne

    Tylko rola Właściciel automatycznie włącza dostęp do systemu plików. Współautor, Czytelnik i wszystkie inne role wymagają list ACL w celu włączenia dowolnego poziomu dostępu do folderów i plików. Rola Właściciel zapewnia uprawnienia do plików i folderów administratora, których nie można zastąpić za pośrednictwem list ACL. Aby uzyskać więcej informacji na temat mapowania zasad RBAC platformy Azure na dostęp do danych, zobacz Kontrola dostępu na podstawie ról na platformie Azure na potrzeby zarządzania kontami.

  4. Jeśli chcesz dodać grupę/użytkownika, która nie znajduje się na liście w bloku Dodawanie uprawnień , możesz je zaprosić, wpisując ich adres e-mail w polu tekstowym Wybierz , a następnie wybierając je z listy.

    Dodawanie grupy zabezpieczeń Dodawanie

  5. Kliknij pozycję Zapisz. Powinna zostać wyświetlona dodana grupa zabezpieczeń, jak pokazano poniżej.

    Dodano grupę zabezpieczeń

  6. Użytkownik/grupa zabezpieczeń ma teraz dostęp do konta Data Lake Storage Gen1. Jeśli chcesz zapewnić dostęp do określonych użytkowników, możesz dodać ich do grupy zabezpieczeń. Podobnie, jeśli chcesz odwołać dostęp dla użytkownika, możesz usunąć go z grupy zabezpieczeń. Do konta można również przypisać wiele grup zabezpieczeń.

Przypisywanie użytkowników lub grup zabezpieczeń jako list ACL do systemu plików Data Lake Storage Gen1

Przypisując grupy użytkowników/zabezpieczeń do systemu plików Data Lake Storage Gen1, należy ustawić kontrolę dostępu do danych przechowywanych w Data Lake Storage Gen1.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

    Wyświetlanie danych za pośrednictwem Data Explorer

  2. W bloku Data Explorer kliknij folder, dla którego chcesz skonfigurować listę ACL, a następnie kliknij pozycję Dostęp. Aby przypisać listy ACL do pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

    Ustawianie list ACL w systemie plików Data Lake Storage Gen1

  3. Blok Dostęp zawiera listę właścicieli i przypisanych uprawnień już przypisanych do katalogu głównego. Kliknij ikonę Dodaj , aby dodać dodatkowe listy ACL dostępu.

    Ważne

    Ustawienie uprawnień dostępu dla pojedynczego pliku nie musi udzielać użytkownikowi/grupie dostępu do tego pliku. Ścieżka do pliku musi być dostępna dla przypisanego użytkownika/grupy. Aby uzyskać więcej informacji i przykładów, zobacz Typowe scenariusze związane z uprawnieniami.

    Wyświetlanie listy standardowych i niestandardowych dostępu

    • Właściciele i wszyscy inni zapewniają dostęp w stylu systemu UNIX, w którym określasz odczyt, zapis, wykonywanie (rwx) do trzech odrębnych klas użytkowników: właściciel, grupa i inne.

    • Przypisane uprawnienia odpowiadają listom ACL POSIX, które umożliwiają ustawianie uprawnień dla określonych nazwanych użytkowników lub grup poza właścicielem lub grupą pliku.

      Aby uzyskać więcej informacji, zobacz Listy ACL systemu plików HDFS. Aby uzyskać więcej informacji na temat sposobu implementacji list ACL w Data Lake Storage Gen1, zobacz Access Control w Data Lake Storage Gen1.

  4. Kliknij ikonę Dodaj , aby otworzyć blok Przypisywanie uprawnień . W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj grupę zabezpieczeń utworzoną wcześniej w Tożsamość Microsoft Entra. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby odfiltrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij przycisk Wybierz.

    Dodawanie grupy Dodawanie grupy

  5. Kliknij pozycję Wybierz uprawnienia, wybierz uprawnienia, niezależnie od tego, czy uprawnienia mają być stosowane cyklicznie, oraz czy chcesz przypisać uprawnienia jako listę ACL dostępu, domyślną listę ACL, czy oba te uprawnienia. Kliknij przycisk OK.

    Zrzut ekranu przedstawiający blok Przypisywanie uprawnień z wywołaną opcją Wybierz uprawnienia i wyświetlonym blokiem Wybierz uprawnienia z wywołaną opcją OK.

    Aby uzyskać więcej informacji na temat uprawnień w Data Lake Storage Gen1 i list ACL domyślnych/dostępu, zobacz Access Control w Data Lake Storage Gen1.

  6. Po kliknięciu przycisku OK w bloku Wybierz uprawnienia nowo dodana grupa i skojarzone uprawnienia będą teraz wyświetlane w bloku Dostęp .

    Zrzut ekranu przedstawiający blok Dostęp z wywołaną opcją Inżynieria danych.

    Ważne

    W bieżącej wersji można mieć maksymalnie 28 wpisów w obszarze Przypisane uprawnienia. Jeśli chcesz dodać więcej niż 28 użytkowników, należy utworzyć grupy zabezpieczeń, dodać użytkowników do grup zabezpieczeń, dodać dostęp do tych grup zabezpieczeń dla konta Data Lake Storage Gen1.

  7. W razie potrzeby możesz również zmodyfikować uprawnienia dostępu po dodaniu grupy. Wyczyść lub zaznacz pole wyboru dla każdego typu uprawnień (Odczyt, Zapis, Wykonywanie) na podstawie tego, czy chcesz usunąć lub przypisać to uprawnienie do grupy zabezpieczeń. Kliknij przycisk Zapisz , aby zapisać zmiany, lub Odrzuć , aby cofnąć zmiany.

Ustawianie zakresu adresów IP na potrzeby dostępu do danych

Data Lake Storage Gen1 umożliwia dalsze blokowanie dostępu do magazynu danych na poziomie sieci. Zaporę można włączyć, określić adres IP lub zdefiniować zakres adresów IP dla zaufanych klientów. Po włączeniu tej opcji tylko klienci, którzy mają adresy IP w zdefiniowanym zakresie, mogą łączyć się z magazynem.

Ustawienia zapory i ustawienia zapory dostępu do

Usuwanie grup zabezpieczeń dla konta Data Lake Storage Gen1

Usunięcie grup zabezpieczeń z kont Data Lake Storage Gen1 spowoduje zmianę dostępu tylko do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

Dostęp do danych jest niezmieniony i nadal jest zarządzany przez listy ACL dostępu. Wyjątkiem od tego są użytkownicy/grupy w roli Właściciele. Użytkownicy/grupy usunięte z roli Właściciele nie są już administratorami, a ich dostęp powraca do ustawień listy ACL.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami).

    Przypisywanie grupy zabezpieczeń do konta Data Lake Storage Gen1

  2. W bloku Access Control (Zarządzanie dostępem i tożsamościami) kliknij grupy zabezpieczeń, które chcesz usunąć. Kliknij przycisk Usuń.

    Usunięto grupę zabezpieczeń Usunięto

Usuwanie list ACL grup zabezpieczeń z systemu plików Data Lake Storage Gen1

Po usunięciu list ACL grup zabezpieczeń z systemu plików Data Lake Storage Gen1 zmienisz dostęp do danych na koncie Data Lake Storage Gen1.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

    Tworzenie katalogów na koncie Data Lake Storage Gen1

  2. W bloku Data Explorer kliknij folder, dla którego chcesz usunąć listę ACL, a następnie kliknij pozycję Dostęp. Aby usunąć listy ACL dla pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

    Ustawianie list ACL w systemie plików Data Lake Storage Gen1

  3. W bloku Dostęp kliknij grupę zabezpieczeń, którą chcesz usunąć. W bloku Szczegóły dostępu kliknij pozycję Usuń.

    Zrzut ekranu bloku Dostęp z wywołaną opcją Inżynieria danych oraz blok Szczegóły dostępu z wywołaną opcją Usuń.

Zobacz też