Usar o Gerenciador de Armazenamento do Azure para gerenciar o acesso no Azure Data Lake Storage Gen2

  • Artigo

Este artigo mostra como usar o Gerenciador de Armazenamento do Microsoft Azure para gerenciar listas de controle de acesso (ACLs) em contas de armazenamento que têm namespace hierárquico (HNS) habilitado.

Você pode usar Gerenciador de Armazenamento para exibir e, em seguida, atualizar as ACLs de diretórios e arquivos. A herança de ACL já está disponível para novos itens filho criados em um diretório pai. Mas você também pode aplicar definições de ACLs recursivamente nos itens filho existentes de um diretório pai sem precisar fazer essas alterações individualmente em cada item filho.

Este artigo mostra como modificar a ACL do arquivo ou diretório e como aplicar as configurações de ACL recursivamente aos diretórios filhos.

Pré-requisitos

  • Uma assinatura do Azure. Consulte Obter a avaliação gratuita do Azure.

  • Uma conta de armazenamento precisa ter o HNS (namespace hierárquico) habilitado. Siga estas instruções para criar um.

  • Gerenciador de Armazenamento do Azure instalado no seu computador local. Para instalar o Gerenciador de Armazenamento do Azure para Windows, Macintosh ou Linux, confira o Gerenciador de Armazenamento do Azure.

  • Você precisa ter uma das seguintes permissões de segurança:

    • Sua identidade de usuário recebeu a função Proprietário de Dados do Blob do Armazenamento no escopo do contêiner, da conta de armazenamento, do grupo de recursos pai ou da assinatura de destino.

    • Você é o usuário proprietário do contêiner, diretório ou blob de destino ao qual planeja aplicar as configurações da ACL.

Observação

O Gerenciador de Armazenamento usa os pontos de extremidade do Blob e do DFS (Data Lake Storage Gen2) ao trabalhar com o Azure Data Lake Storage Gen2. Se o acesso ao Azure Data Lake Storage Gen2 for configurado usando pontos de extremidade privados, verifique se dois pontos de extremidade privados foram criados para a conta de armazenamento: um com o sub-recurso de destino blob e o outro com o sub-recurso de destino dfs.

Conectar-se ao Gerenciador de Armazenamento

Quando você iniciar o Gerenciador de Armazenamento pela primeira vez, a janela Gerenciador de Armazenamento do Microsoft Azure – Conectar ao Armazenamento do Microsoft Azure será exibida. Embora o Gerenciador de Armazenamento forneça várias maneiras de se conectar às contas de armazenamento, apenas uma maneira tem suporte atualmente para gerenciar ACLs.

No painel Selecionar recurso, selecione Assinatura.

Screenshot that shows the Microsoft Azure Storage Explorer - Select Resource pane

No painel Selecionar Ambiente do Azure, selecione um ambiente do Azure para entrar. Você pode entrar no Azure global, em uma nuvem nacional ou em uma instância do Azure Stack. Em seguida, selecione Avançar.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Select Azure Environment option.

O Gerenciador de Armazenamento abre uma página da Web para você entrar.

Depois de entrar usando uma conta do Azure, a conta e as assinaturas do Azure associadas a essa conta serão exibidas no painel à esquerda, em GERENCIAMENTO DE CONTAS. Selecione as assinaturas do Azure com as quais você deseja trabalhar e escolha Abrir Gerenciador.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Account Management pane and Open Explorer button.

Ao concluir a conexão, o Gerenciador de Armazenamento do Azure carrega exibindo a guia Explorer. Essa exibição fornece insights sobre todas as suas contas de armazenamento do Azure e sobre o armazenamento local configurados por meio do emulador de armazenamento do Azurite ou dos ambientes do Azure Stack.

Microsoft Azure Storage Explorer - Connect window

Gerenciar uma ACL

Clique com o botão direito do mouse no contêiner, em um diretório ou em um arquivo e selecione Gerenciar Listas de Controle de Acesso. A captura de tela a seguir mostra o menu como ele aparece quando você clica com o botão direito do mouse em um diretório.

Right-clicking a directory in Azure Storage Explorer

A caixa de diálogo Gerenciar Acesso permite gerenciar permissões para o proprietário e o grupo de proprietários. Ele também permite adicionar novos usuários e grupos à lista de controle de acesso para os quais você então pode gerenciar permissões.

Manage Access dialog box

Para adicionar um novo usuário ou grupo à lista de controle de acesso, selecione o botão Adicionar. Insira a entrada correspondente do Microsoft Entra que deseja adicionar à lista e, em seguida, selecione Adicionar. O usuário ou grupo agora aparecerão no campo Usuários e grupos:, permitindo que você comece a gerenciar suas permissões.

Observação

É uma melhor prática e recomendamos criar um grupo de segurança no Microsoft Entra ID e manter as permissões no grupo, em vez de usuários individuais. Para obter detalhes sobre essa recomendação, bem como outras melhores práticas, confira Modelo de controle de acesso no Azure Data Lake Storage Gen2.

Use os controles da caixa de seleção para definir o acesso e as ACLs padrão. Para saber mais sobre a diferença entre esses tipos de ACLs, consulte Tipos de ACLs.

Aplicar ACLs recursivamente

Você também pode aplicar entradas de ACLs recursivamente nos itens filho existentes de um diretório pai sem precisar fazer essas alterações individualmente em cada item filho.

Para aplicar entradas de ACL recursivamente, clique com o botão direito do mouse no contêiner ou em um diretório e selecione Propagar Listas de Controle de Acesso. A captura de tela a seguir mostra o menu como ele aparece quando você clica com o botão direito do mouse em um diretório.

Observação

A opção Propagar Listas de Controle de Acesso está disponível apenas em Gerenciador de Armazenamento 1.28.1 ou versões posteriores.

Right-clicking a directory and choosing the propagate access control setting

Próximas etapas

Saiba mais sobre o modelo de permissão do Data Lake Storage Gen2.

Modelo de controle de acesso no Azure Data Lake Storage Gen2