Securing data stored in Azure Data Lake Storage Gen1 (Zabezpieczanie danych przechowywanych w usłudze Azure Data Lake Storage Gen1)

Zabezpieczanie danych w usłudze Azure Data Lake Storage Gen1 to podejście trzyetapowe. Zarówno kontrola dostępu oparta na rolach (RBAC) platformy Azure, jak i listy kontroli dostępu (ACL) muszą być ustawione tak, aby w pełni umożliwić dostęp do danych dla użytkowników i grup zabezpieczeń.

1. Zacznij od utworzenia grup zabezpieczeń w usłudze Microsoft Entra ID. Te grupy zabezpieczeń służą do implementowania kontroli dostępu opartej na rolach (RBAC) platformy Azure w witrynie Azure Portal.
2. Przypisz grupy zabezpieczeń Microsoft Entra do konta usługi Data Lake Storage Gen1. Steruje to dostępem do konta usługi Data Lake Storage Gen1 z poziomu portalu i operacji zarządzania z poziomu portalu lub interfejsów API.
3. Przypisz grupy zabezpieczeń Microsoft Entra jako listy kontroli dostępu (ACL) w systemie plików usługi Data Lake Storage Gen1.
4. Ponadto można również ustawić zakres adresów IP dla klientów, którzy mogą uzyskiwać dostęp do danych w usłudze Data Lake Storage Gen1.

Ten artykuł zawiera instrukcje dotyczące używania witryny Azure Portal do wykonywania powyższych zadań. Aby uzyskać szczegółowe informacje na temat sposobu implementowania zabezpieczeń usługi Data Lake Storage Gen1 na poziomie konta i danych, zobacz Zabezpieczenia w usłudze Azure Data Lake Storage Gen1. Aby uzyskać szczegółowe informacje na temat wdrażania list ACL w usłudze Data Lake Storage Gen1, zobacz Omówienie kontroli dostępu w usłudze Data Lake Storage Gen1.

Wymagania wstępne

Przed przystąpieniem do wykonania kroków opisanych w tym samouczku należy dysponować następującymi elementami:

• Subskrypcja platformy Azure. Zobacz Uzyskiwanie bezpłatnej wersji próbnej platformy Azure.
• Konto usługi Data Lake Storage Gen1. Aby uzyskać instrukcje dotyczące sposobu ich tworzenia, zobacz Rozpoczynanie pracy z usługą Azure Data Lake Storage Gen1

Tworzenie grup zabezpieczeń w identyfikatorze Entra firmy Microsoft

Aby uzyskać instrukcje dotyczące tworzenia grup zabezpieczeń firmy Microsoft Entra i dodawania użytkowników do grupy, zobacz Zarządzanie grupami zabezpieczeń w usłudze Microsoft Entra ID.

Uwaga

Możesz dodać użytkowników i inne grupy do grupy w witrynie Microsoft Entra ID przy użyciu witryny Azure Portal. Jednak w celu dodania jednostki usługi do grupy użyj modułu Programu PowerShell identyfikatora Entra firmy Microsoft.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Przypisywanie użytkowników lub grup zabezpieczeń do kont usługi Data Lake Storage Gen1

Po przypisaniu użytkowników lub grup zabezpieczeń do kont usługi Data Lake Storage Gen1 można kontrolować dostęp do operacji zarządzania na koncie przy użyciu witryny Azure Portal i interfejsów API usługi Azure Resource Manager.

1. Otwórz konto usługi Data Lake Storage Gen1. W okienku po lewej stronie kliknij pozycję Wszystkie zasoby, a następnie w bloku Wszystkie zasoby kliknij nazwę konta, do którego chcesz przypisać użytkownika lub grupę zabezpieczeń.

2. W bloku konta usługi Data Lake Storage Gen1 kliknij pozycję Kontrola dostępu (IAM). Panel domyślnie wyświetla właścicieli subskrypcji jako właścicieli.

   

3. W bloku Kontrola dostępu (Zarządzanie identyfikacją i dostępem) kliknij Dodaj, aby otworzyć blok Dodawanie uprawnień. W bloku Dodawanie uprawnień wybierz rolę dla użytkownika/grupy. Wyszukaj utworzoną wcześniej grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft i wybierz ją. Jeśli masz wielu użytkowników i grupy do wyszukania, użyj pola tekstowego Wybierz , aby filtrować nazwę grupy.

   

   Rola Właściciel i Współautor zapewniają dostęp do różnych funkcji administracyjnych na koncie usługi Data Lake. W przypadku użytkowników, którzy będą pracować z danymi w jeziorze danych, ale nadal muszą przeglądać informacje dotyczące zarządzania kontem, dodaj je do roli Czytelnik. Zakres tych ról jest ograniczony do operacji zarządzania związanych z kontem usługi Data Lake Storage Gen1.

   W przypadku operacji na danych poszczególne uprawnienia systemu plików określają, co użytkownicy mogą robić. W związku z tym użytkownik mający rolę Czytelnik może wyświetlać tylko ustawienia administracyjne skojarzone z kontem, ale może potencjalnie odczytywać i zapisywać dane na podstawie przypisanych do nich uprawnień systemu plików. Uprawnienia systemu plików w usłudze Data Lake Storage Gen1 opisano w Przypisywaniu grup zabezpieczeń jako list kontroli dostępu (ACL) do systemu plików usługi Azure Data Lake Storage Gen1.

   Ważne

   Tylko rola Właściciel automatycznie włącza dostęp do systemu plików. Współautor, Czytelnik i wszystkie inne role wymagają list ACL w celu włączenia dowolnego poziomu dostępu do folderów i plików. Rola Właściciel zapewnia uprawnienia superużytkownika do plików i folderów, których nie można nadpisać za pomocą list ACL. Aby uzyskać więcej informacji na temat mapowania zasad RBAC platformy Azure na dostęp do danych, zobacz Kontrola dostępu na podstawie ról platformy Azure na potrzeby zarządzania kontami.

4. Jeśli chcesz dodać grupę/użytkownika, która nie znajduje się na liście w bloku Dodawanie uprawnień , możesz je zaprosić, wpisując swój adres e-mail w polu tekstowym Wybierz , a następnie wybierając je z listy.

   

5. Kliknij przycisk Zapisz. Powinna pojawić się dodana grupa zabezpieczeń, jak pokazano poniżej.

   

6. Użytkownik/grupa zabezpieczeń ma teraz dostęp do konta usługi Data Lake Storage Gen1. Jeśli chcesz zapewnić dostęp do określonych użytkowników, możesz dodać je do grupy zabezpieczeń. Podobnie, jeśli chcesz odwołać dostęp dla użytkownika, możesz je usunąć z grupy zabezpieczeń. Możesz również przypisać wiele grup zabezpieczeń do konta.

Przypisuj użytkowników lub grupy zabezpieczeń do list ACL w systemie plików usługi Data Lake Storage Gen1.

Przypisując grupy użytkowników/zabezpieczeń do systemu plików usługi Data Lake Storage Gen1, należy ustawić kontrolę dostępu do danych przechowywanych w usłudze Data Lake Storage Gen1.

1. W panelu konta usługi Data Lake Storage Gen1 kliknij pozycję Eksplorator danych.

   

2. W okienku Eksplorator danych kliknij folder, dla którego chcesz skonfigurować ACL, a następnie kliknij Dostęp. Aby przypisać ACL do pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w panelu Podgląd plików.

   

3. Blok Dostęp zawiera listę właścicieli i uprawnień już przypisanych do katalogu głównego (root). Kliknij ikonę Dodaj, aby dodać dodatkowe listy kontrolne dostępu ACL.

   Ważne

   Ustawienie uprawnień dostępu dla pojedynczego pliku nie musi udzielać użytkownikowi/grupie dostępu do tego pliku. Ścieżka do pliku musi być dostępna dla przypisanego użytkownika/grupy. Aby uzyskać więcej informacji i przykładów, zobacz Typowe scenariusze związane z uprawnieniami.

   

   • Właściciele i wszyscy inni zapewniają dostęp w stylu systemu UNIX, w którym określasz odczyt, zapis, wykonywanie (rwx) do trzech odrębnych klas użytkowników: właściciel, grupa i inne.

   • Przypisane uprawnienia odpowiadają listom ACL POSIX, które umożliwiają ustawianie uprawnień dla określonych nazwanych użytkowników lub grup poza właścicielem lub grupą pliku.

     Aby uzyskać więcej informacji, zobacz Listy ACL systemu plików HDFS. Aby uzyskać więcej informacji na temat implementowania list ACL w usłudze Data Lake Storage Gen1, zobacz Kontrola dostępu w usłudze Data Lake Storage Gen1.

4. Kliknij ikonę Dodaj , aby otworzyć blok Przypisywanie uprawnień . W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj grupę zabezpieczeń utworzoną wcześniej w usłudze Microsoft Entra ID. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby filtrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij pozycję Wybierz.

   

5. Kliknij pozycję Wybierz uprawnienia, wybierz uprawnienia, zdecyduj, czy uprawnienia mają być stosowane rekursywnie oraz czy chcesz przypisać uprawnienia jako listę ACL dostępu, domyślną listę ACL lub obie te opcje. Kliknij przycisk OK.

   

   Aby uzyskać więcej informacji na temat uprawnień w usłudze Data Lake Storage Gen1 i list ACL domyślnych/dostępu, zobacz Kontrola dostępu w usłudze Data Lake Storage Gen1.

6. Po kliknięciu przycisku OK w bloku Wybierz uprawnienia nowo dodana grupa i skojarzone uprawnienia będą teraz wyświetlane w bloku Dostęp .

   

   Ważne

   W bieżącej wersji można mieć maksymalnie 28 wpisów w obszarze Przypisane uprawnienia. Jeśli chcesz dodać więcej niż 28 użytkowników, należy utworzyć grupy zabezpieczeń, dodać użytkowników do grup zabezpieczeń, dodać dostęp do tych grup zabezpieczeń dla konta usługi Data Lake Storage Gen1.

7. Jeśli jest to wymagane, możesz również zmodyfikować uprawnienia dostępu po dodaniu grupy. Wyczyść lub zaznacz pole wyboru dla każdego typu uprawnień (odczyt, zapis, wykonywanie) na podstawie tego, czy chcesz usunąć lub przypisać to uprawnienie do grupy zabezpieczeń. Kliknij przycisk Zapisz , aby zapisać zmiany, lub Odrzuć , aby cofnąć zmiany.

Ustawianie zakresu adresów IP na potrzeby dostępu do danych

Usługa Data Lake Storage Gen1 umożliwia dalsze blokowanie dostępu do magazynu danych na poziomie sieci. Zaporę można włączyć, określić adres IP lub zdefiniować zakres adresów IP dla zaufanych klientów. Po włączeniu tej opcji tylko klienci, którzy mają adresy IP w zdefiniowanym zakresie, mogą łączyć się z magazynem.

Usuwanie grup zabezpieczeń dla konta usługi Data Lake Storage Gen1

Usunięcie grup zabezpieczeń z kont usługi Data Lake Storage Gen1 spowoduje zmianę dostępu tylko do operacji zarządzania na koncie przy użyciu witryny Azure Portal i interfejsów API usługi Azure Resource Manager.

Dostęp do danych pozostaje niezmieniony i nadal jest zarządzany przez listy kontroli dostępu ACL. Wyjątkiem od tego są użytkownicy/grupy w roli "Właściciele". pl-PL: Użytkownicy/grupy usunięte z roli właściciele nie są już superużytkownikami, a ich dostęp jest zgodny z ustawieniami listy ACL.

1. W bloku konta usługi Data Lake Storage Gen1 kliknij pozycję Kontrola dostępu (IAM).

   

2. W bloku Kontrola dostępu (Zarządzanie dostępem i tożsamościami) kliknij grupy zabezpieczeń, które chcesz usunąć. Kliknij przycisk Usuń.

   

Usuń listy ACL dla grup zabezpieczeń z systemu plików w usłudze Data Lake Storage Gen1

Usunięcie grupowej listy kontrolnej dostępu (ACL) z systemu plików usługi Data Lake Storage Gen1 spowoduje zmianę dostępu do danych na koncie usługi Data Lake Storage Gen1.

1. W bloku konta usługi Data Lake Storage Gen1 kliknij Eksplorator danych.

   

2. Na panelu Eksplorator Danych kliknij folder, dla którego chcesz usunąć listę kontroli dostępu (ACL), a następnie kliknij pozycję Dostęp. Aby usunąć ACL dla pliku, należy najpierw kliknąć ten plik, aby wyświetlić jego podgląd, a następnie kliknąć pozycję Dostęp w panelu Podgląd plików.

   

3. W bloku Dostęp kliknij grupę zabezpieczeń, którą chcesz usunąć. W bloku Szczegóły dostępu kliknij pozycję Usuń.

   

Zobacz też

• Omówienie usługi Azure Data Lake Storage Gen1
• Kopiowanie danych z obiektów blob usługi Azure Storage do usługi Data Lake Storage Gen1
• Używanie usługi Azure Data Lake Analytics z usługą Data Lake Storage Gen1
• Używanie usługi Azure HDInsight z usługą Data Lake Storage Gen1
• Rozpoczynanie pracy z usługą Data Lake Storage Gen1 przy użyciu programu PowerShell
• Rozpoczynanie pracy z usługą Data Lake Storage Gen1 przy użyciu zestawu SDK platformy .NET
• Uzyskiwanie dostępu do dzienników diagnostycznych usługi Data Lake Storage Gen1