Proteger dados armazenados no Azure Data Lake Storage Gen1

  • Artigo

Proteger dados no Azure Data Lake Storage Gen1 é uma abordagem de três passos. Tanto o controlo de acesso baseado em funções do Azure (RBAC do Azure) como as listas de controlo de acesso (ACLs) têm de ser definidos para permitir totalmente o acesso a dados para utilizadores e grupos de segurança.

  1. Comece por criar grupos de segurança no Microsoft Entra ID. Estes grupos de segurança são utilizados para implementar o controlo de acesso baseado em funções do Azure (RBAC do Azure) no portal do Azure.
  2. Atribua os grupos de segurança Microsoft Entra à conta Data Lake Storage Gen1. Isto controla o acesso à conta Data Lake Storage Gen1 a partir do portal e das operações de gestão a partir do portal ou das APIs.
  3. Atribua os grupos de segurança Microsoft Entra como listas de controlo de acesso (ACLs) no sistema de ficheiros Data Lake Storage Gen1.
  4. Além disso, também pode definir um intervalo de endereços IP para clientes que podem aceder aos dados no Data Lake Storage Gen1.

Este artigo fornece instruções sobre como utilizar o portal do Azure para executar as tarefas acima. Para obter informações aprofundadas sobre como Data Lake Storage Gen1 implementa a segurança ao nível da conta e dos dados, veja Segurança no Azure Data Lake Storage Gen1. Para obter informações detalhadas sobre como as ACLs são implementadas no Data Lake Storage Gen1, veja Descrição geral de Controlo de Acesso no Data Lake Storage Gen1.

Pré-requisitos

Antes de começar este tutorial, tem de ter o seguinte:

Criar grupos de segurança no Microsoft Entra ID

Para obter instruções sobre como criar Microsoft Entra grupos de segurança e como adicionar utilizadores ao grupo, consulte Gerir grupos de segurança no Microsoft Entra ID.

Nota

Pode adicionar utilizadores e outros grupos a um grupo no Microsoft Entra ID através do portal do Azure. No entanto, para adicionar um principal de serviço a um grupo, utilize o módulo do PowerShell do Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Atribuir utilizadores ou grupos de segurança a contas Data Lake Storage Gen1

Quando atribui utilizadores ou grupos de segurança a contas Data Lake Storage Gen1, controla o acesso às operações de gestão na conta com as APIs portal do Azure e do Azure Resource Manager.

  1. Abra uma conta Data Lake Storage Gen1. No painel esquerdo, clique em Todos os recursos e, em seguida, no painel Todos os recursos, clique no nome da conta ao qual pretende atribuir um utilizador ou grupo de segurança.

  2. No painel Data Lake Storage Gen1 conta, clique em Controlo de Acesso (IAM). Por predefinição, o painel lista os proprietários da subscrição como proprietário.

    Atribuir grupo de segurança a Azure Data Lake Storage conta Gen1

  3. No painel Controlo de Acesso (IAM), clique em Adicionar para abrir o painel Adicionar permissões. No painel Adicionar permissões , selecione uma Função para o utilizador/grupo. Procure o grupo de segurança que criou anteriormente no Microsoft Entra ID e selecione-o. Se tiver muitos utilizadores e grupos a partir dos quais procurar, utilize a caixa de texto Selecionar para filtrar o nome do grupo.

    Adicionar uma função para o utilizador

    A função Proprietário e Contribuidor fornece acesso a uma variedade de funções de administração na conta do data lake. Para os utilizadores que irão interagir com dados no data lake, mas que ainda precisam de ver as informações de gestão de contas, pode adicioná-las à função Leitor . O âmbito destas funções está limitado às operações de gestão relacionadas com a conta Data Lake Storage Gen1.

    Para operações de dados, as permissões individuais do sistema de ficheiros definem o que os utilizadores podem fazer. Por conseguinte, um utilizador com uma função leitor só pode ver as definições administrativas associadas à conta, mas pode potencialmente ler e escrever dados com base nas permissões do sistema de ficheiros que lhes foram atribuídas. Data Lake Storage Gen1 permissões do sistema de ficheiros estão descritas em Atribuir grupo de segurança como ACLs ao sistema de ficheiros Azure Data Lake Storage Gen1.

    Importante

    Apenas a função Proprietário ativa automaticamente o acesso ao sistema de ficheiros. O Contribuidor, o Leitor e todas as outras funções requerem ACLs para ativar qualquer nível de acesso a pastas e ficheiros. A função Proprietário fornece permissões de ficheiros e pastas de superutilizador que não podem ser substituídas através de ACLs. Para obter mais informações sobre como as políticas RBAC do Azure mapeiam para o acesso a dados, veja RBAC do Azure para gestão de contas.

  4. Se quiser adicionar um grupo/utilizador que não esteja listado no painel Adicionar permissões , pode convidá-los ao escrever o respetivo endereço de e-mail na caixa de texto Selecionar e, em seguida, selecioná-los na lista.

    Adicionar um grupo de segurança

  5. Clique em Guardar. Deverá ver o grupo de segurança adicionado, conforme mostrado abaixo.

    Grupo de segurança adicionado

  6. O seu utilizador/grupo de segurança tem agora acesso à conta Data Lake Storage Gen1. Se quiser conceder acesso a utilizadores específicos, pode adicioná-los ao grupo de segurança. Da mesma forma, se quiser revogar o acesso de um utilizador, pode removê-lo do grupo de segurança. Também pode atribuir vários grupos de segurança a uma conta.

Atribuir utilizadores ou grupos de segurança como ACLs ao sistema de ficheiros Data Lake Storage Gen1

Ao atribuir grupos de utilizadores/segurança ao sistema de ficheiros Data Lake Storage Gen1, define o controlo de acesso nos dados armazenados no Data Lake Storage Gen1.

  1. No painel da sua conta Data Lake Storage Gen1, clique em Data Explorer.

    Ver dados através do Data Explorer

  2. No painel Data Explorer, clique na pasta para a qual pretende configurar a ACL e, em seguida, clique em Acesso. Para atribuir ACLs a um ficheiro, primeiro tem de clicar no ficheiro para o pré-visualizar e, em seguida, clicar em Acesso no painel Pré-visualizar Ficheiro .

    Definir ACLs no sistema de ficheiros Data Lake Storage Gen1

  3. O painel Acesso lista os proprietários e as permissões atribuídas já atribuídas à raiz. Clique no ícone Adicionar para adicionar ACLs de Acesso adicionais.

    Importante

    Definir permissões de acesso para um único ficheiro não concede necessariamente a um utilizador/grupo acesso a esse ficheiro. O caminho para o ficheiro tem de estar acessível para o utilizador/grupo atribuído. Para obter mais informações e exemplos, veja Cenários comuns relacionados com permissões.

    Listar acesso padrão e personalizado

    • Os Proprietários e Todos os outros fornecem acesso ao estilo UNIX, onde especifica leitura, escrita, execução (rwx) a três classes de utilizador distintas: proprietário, grupo e outros.

    • As permissões atribuídas correspondem às ACLs POSIX que lhe permitem definir permissões para utilizadores ou grupos nomeados específicos para além do proprietário ou grupo do ficheiro.

      Para obter mais informações, veja ACLs do HDFS. Para obter mais informações sobre como as ACLs são implementadas no Data Lake Storage Gen1, veja Controlo de Acesso no Data Lake Storage Gen1.

  4. Clique no ícone Adicionar para abrir o painel Atribuir permissões . Neste painel, clique em Selecionar utilizador ou grupo e, em seguida, no painel Selecionar utilizador ou grupo, procure o grupo de segurança que criou anteriormente no Microsoft Entra ID. Se tiver muitos grupos a partir dos quais procurar, utilize a caixa de texto na parte superior para filtrar o nome do grupo. Clique no grupo que pretende adicionar e, em seguida, clique em Selecionar.

    Adicionar um grupo

  5. Clique em Selecionar permissões, selecione as permissões, se as permissões devem ser aplicadas de forma recursiva e se pretende atribuir as permissões como uma ACL de acesso, ACL predefinida ou ambas. Clique em OK.

    Captura de ecrã do painel Atribuir permissões com a opção Selecionar permissões realçada e o painel Selecionar permissões com a opção Ok realçada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs predefinidas/de acesso, veja Controlo de Acesso no Data Lake Storage Gen1.

  6. Depois de clicar em OK no painel Selecionar permissões , o grupo adicionado recentemente e as permissões associadas serão agora listados no painel Acesso .

    Captura de ecrã do painel Acesso com a opção Engenheria de Dados realçada.

    Importante

    Na versão atual, pode ter até 28 entradas em Permissões atribuídas. Se quiser adicionar mais de 28 utilizadores, deve criar grupos de segurança, adicionar utilizadores a grupos de segurança, adicionar acesso a esses grupos de segurança para a conta Data Lake Storage Gen1.

  7. Se necessário, também pode modificar as permissões de acesso depois de ter adicionado o grupo. Desmarque ou selecione a caixa de verificação para cada tipo de permissão (Leitura, Escrita, Execução) com base no facto de pretender remover ou atribuir essa permissão ao grupo de segurança. Clique em Guardar para guardar as alterações ou Eliminar para anular as alterações.

Definir intervalo de endereços IP para acesso a dados

Data Lake Storage Gen1 permite-lhe bloquear ainda mais o acesso ao seu arquivo de dados ao nível da rede. Pode ativar a firewall, especificar um endereço IP ou definir um intervalo de endereços IP para os seus clientes fidedignos. Depois de ativado, apenas os clientes que tenham os endereços IP dentro do intervalo definido podem ligar-se ao arquivo.

Definições da firewall e acesso ao IP

Remover grupos de segurança de uma conta Data Lake Storage Gen1

Quando remove grupos de segurança de contas Data Lake Storage Gen1, só está a alterar o acesso às operações de gestão na conta com as APIs portal do Azure e do Azure Resource Manager.

O acesso aos dados permanece inalterado e continua a ser gerido pelas ACLs de acesso. A exceção são os utilizadores/grupos na função Proprietários. Os utilizadores/grupos removidos da função Proprietários já não são superutilizadores e o respetivo acesso reverte para aceder às definições da ACL.

  1. No painel Data Lake Storage Gen1 conta, clique em Controlo de Acesso (IAM).

    Atribuir grupo de segurança a Data Lake Storage Gen1 conta

  2. No painel Controlo de Acesso (IAM), clique nos grupos de segurança que pretende remover. Clique em Remover.

    Grupo de segurança removido

Remover ACLs de grupo de segurança de um sistema de ficheiros Data Lake Storage Gen1

Quando remove ACLs do grupo de segurança de um sistema de ficheiros Data Lake Storage Gen1, altera o acesso aos dados na conta Data Lake Storage Gen1.

  1. No painel da sua conta Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta Data Lake Storage Gen1

  2. No painel Data Explorer, clique na pasta para a qual pretende remover a ACL e, em seguida, clique em Acesso. Para remover ACLs de um ficheiro, primeiro tem de clicar no ficheiro para o pré-visualizar e, em seguida, clicar em Acesso no painel Pré-visualizar Ficheiro .

    Definir ACLs no sistema de ficheiros Data Lake Storage Gen1

  3. No painel Acesso , clique no grupo de segurança que pretende remover. No painel Detalhes do Access , clique em Remover.

    Captura de ecrã do painel Acesso com a opção Engenheria de Dados realçada e o painel Detalhes do Access com a opção Remover realçada.

Ver também