Zarządzanie listami ACL w usłudze Azure Data Lake Storage Gen2 przy użyciu Eksplorator usługi Azure Storage

  • Artykuł

W tym artykule pokazano, jak używać Eksplorator usługi Azure Storage do zarządzania listami kontroli dostępu (ACL) na kontach magazynu z włączoną hierarchiczną przestrzenią nazw (HNS).

Możesz użyć Eksplorator usługi Storage do wyświetlenia, a następnie zaktualizować listy ACL katalogów i plików. Dziedziczenie listy ACL jest już dostępne dla nowych elementów podrzędnych utworzonych w katalogu nadrzędnym. Ustawienia listy ACL można też cyklicznie stosować w istniejących elementach podrzędnych katalogu nadrzędnego bez konieczności wprowadzania tych zmian indywidualnie dla każdego elementu podrzędnego.

W tym artykule pokazano, jak zmodyfikować listę ACL pliku lub katalogu i jak cyklicznie stosować ustawienia listy ACL do katalogów podrzędnych.

Wymagania wstępne

  • Subskrypcja platformy Azure. Zobacz Uzyskiwanie bezpłatnej wersji próbnej platformy Azure.

  • Konto magazynu z włączoną hierarchiczną przestrzenią nazw (HNS). Postępuj zgodnie z tymi instrukcjami, aby je utworzyć.

  • Eksplorator usługi Azure Storage zainstalowane na komputerze lokalnym. Aby zainstalować Eksplorator usługi Azure Storage dla systemu Windows, Macintosh lub Linux, zobacz Eksplorator usługi Azure Storage.

  • Musisz mieć jedno z następujących uprawnień zabezpieczeń:

    • Tożsamość użytkownika została przypisana roli Właściciel danych obiektu blob usługi Storage w zakresie kontenera docelowego, konta magazynu, nadrzędnej grupy zasobów lub subskrypcji.

    • Jesteś właścicielem kontenera docelowego, katalogu lub obiektu blob, do którego planujesz zastosować ustawienia listy ACL.

Uwaga

Eksplorator usługi Storage korzysta z punktów końcowych usługi Blob (blob) i Data Lake Storage Gen2 (dfs) podczas pracy z usługą Azure Data Lake Storage Gen2. Jeśli dostęp do usługi Azure Data Lake Storage Gen2 jest skonfigurowany przy użyciu prywatnych punktów końcowych, upewnij się, że dla konta magazynu są tworzone dwa prywatne punkty końcowe: jeden z docelowym zasobem podrzędnym blob , a drugi z docelowym zasobem podrzędnym dfs.

Zaloguj się do Eksplorator usługi Storage

Po pierwszym uruchomieniu Eksplorator usługi Storage zostanie wyświetlone okno Eksplorator usługi Microsoft Azure Storage — Połączenie do usługi Azure Storage. Chociaż Eksplorator usługi Storage oferuje kilka sposobów łączenia się z kontem magazynu, tylko jeden ze sposobów jest obecnie obsługiwany na potrzeby zarządzania listami kontroli dostępu.

W panelu Wybierz zasób wybierz pozycję Subskrypcja.

Screenshot that shows the Microsoft Azure Storage Explorer - Select Resource pane

W panelu Wybieranie środowiska platformy Azure wybierz środowisko platformy Azure, do których chcesz się zalogować. Możesz zalogować się do globalnej platformy Azure, chmury krajowej lub wystąpienia usługi Azure Stack. Następnie kliknij przycisk Dalej.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Select Azure Environment option.

Eksplorator usługi Storage otwiera stronę internetową, aby się zalogować.

Po pomyślnym zalogowaniu się przy użyciu konta platformy Azure konto i subskrypcje platformy Azure skojarzone z tym kontem są wyświetlane w obszarze ZARZĄDZANIE KONTAMI. Wybierz subskrypcje platformy Azure, z którymi chcesz pracować, a następnie wybierz pozycję Otwórz Eksploratora.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Account Management pane and Open Explorer button.

Po nawiązaniu połączenia Eksplorator usługi Azure Storage zostanie załadowany z wyświetloną kartą Eksplorator. Ten widok zapewnia wgląd we wszystkie konta usługi Azure Storage oraz magazyn lokalny skonfigurowany za pośrednictwem emulatora magazynu Azurite lub środowisk usługi Azure Stack .

Microsoft Azure Storage Explorer - Connect window

Zarządzanie listą ACL

Kliknij prawym przyciskiem myszy kontener, katalog lub plik, a następnie wybierz pozycję Zarządzaj listami kontroli dostępu. Poniższy zrzut ekranu przedstawia menu wyświetlane po kliknięciu katalogu prawym przyciskiem myszy.

Right-clicking a directory in Azure Storage Explorer

Okno dialogowe Zarządzanie dostępem umożliwia zarządzanie uprawnieniami właściciela i grupy właścicieli. Umożliwia również dodawanie do listy kontroli dostępu nowych użytkowników i grup, dla których można następnie zarządzać uprawnieniami.

Manage Access dialog box

Aby dodać nowego użytkownika lub grupę do listy kontroli dostępu, wybierz przycisk Dodaj . Następnie wprowadź odpowiedni wpis firmy Microsoft Entra, który chcesz dodać do listy, a następnie wybierz pozycję Dodaj. Użytkownika lub grupę będzie teraz widać w polu Użytkownicy i grupy:, co umożliwi rozpoczęcie zarządzania ich uprawnieniami.

Uwaga

Najlepszym rozwiązaniem i zalecanym rozwiązaniem jest utworzenie grupy zabezpieczeń w usłudze Microsoft Entra ID i utrzymanie uprawnień do grupy, a nie poszczególnych użytkowników. Aby uzyskać szczegółowe informacje na temat tego zalecenia, a także inne najlepsze rozwiązania, zobacz Model kontroli dostępu w usłudze Azure Data Lake Storage Gen2.

Użyj kontrolek pól wyboru, aby ustawić dostęp i domyślne listy ACL. Aby dowiedzieć się więcej na temat różnic między tymi typami list ACL, zobacz Typy list ACL.

Rekursywne stosowanie list ACL

Wpisy listy ACL można cyklicznie stosować w istniejących elementach podrzędnych katalogu nadrzędnego bez konieczności wprowadzania tych zmian indywidualnie dla każdego elementu podrzędnego.

Aby cyklicznie zastosować wpisy listy ACL, kliknij prawym przyciskiem myszy kontener lub katalog, a następnie wybierz polecenie Propaguj listy kontroli dostępu. Poniższy zrzut ekranu przedstawia menu wyświetlane po kliknięciu katalogu prawym przyciskiem myszy.

Uwaga

Opcja Propagacja list kontroli dostępu jest dostępna tylko w wersji Eksplorator usługi Storage 1.28.1 lub nowszej.

Right-clicking a directory and choosing the propagate access control setting

Następne kroki

Dowiedz się więcej o modelu uprawnień usługi Data Lake Storage Gen2.

Model kontroli dostępu w usłudze Azure Data Lake Storage Gen2