Skydda data som lagras i Azure Data Lake Storage Gen1

Artikel
03/26/2018

Att skydda data i Azure Data Lake Storage Gen1 är en trestegsmetod. Både rollbaserad åtkomstkontroll i Azure (Azure RBAC) och åtkomstkontrollistor (ACL: er) måste anges för att ge fullständig åtkomst till data för användare och säkerhetsgrupper.

Börja med att skapa säkerhetsgrupper i Microsoft Entra ID. Dessa säkerhetsgrupper används för att implementera rollbaserad åtkomstkontroll i Azure (Azure RBAC) i Azure Portal.
Tilldela Microsoft Entra säkerhetsgrupper till Data Lake Storage Gen1-kontot. Detta styr åtkomsten till Data Lake Storage Gen1-kontot från portalen och hanteringsåtgärder från portalen eller API:er.
Tilldela Microsoft Entra säkerhetsgrupper som åtkomstkontrollistor (ACL: er) i Data Lake Storage Gen1 filsystemet.
Dessutom kan du ange ett IP-adressintervall för klienter som har åtkomst till data i Data Lake Storage Gen1.

Den här artikeln innehåller instruktioner om hur du använder Azure Portal för att utföra ovanstående uppgifter. Detaljerad information om hur Data Lake Storage Gen1 implementerar säkerhet på konto- och datanivå finns i Säkerhet i Azure Data Lake Storage Gen1. Detaljerad information om hur ACL:er implementeras i Data Lake Storage Gen1 finns i Översikt över Access Control i Data Lake Storage Gen1.

Förutsättningar

Innan du påbörjar de här självstudierna måste du ha:

En Azure-prenumeration. Se Hämta en kostnadsfri utvärderingsversion av Azure.
Ett Data Lake Storage Gen1 konto. Anvisningar om hur du skapar en finns i Kom igång med Azure Data Lake Storage Gen1

Skapa säkerhetsgrupper i Microsoft Entra ID

Anvisningar om hur du skapar Microsoft Entra säkerhetsgrupper och hur du lägger till användare i gruppen finns i Hantera säkerhetsgrupper i Microsoft Entra ID.

Anteckning

Du kan lägga till både användare och andra grupper i en grupp i Microsoft Entra ID med hjälp av Azure Portal. Men om du vill lägga till ett huvudnamn för tjänsten i en grupp använder du Microsoft Entra ID PowerShell-modul.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Tilldela användare eller säkerhetsgrupper till Data Lake Storage Gen1 konton

När du tilldelar användare eller säkerhetsgrupper till Data Lake Storage Gen1 konton styr du åtkomsten till hanteringsåtgärderna för kontot med hjälp av API:erna Azure Portal och Azure Resource Manager.

Öppna ett Data Lake Storage Gen1 konto. Klicka på Alla resurser i den vänstra rutan och klicka sedan på det kontonamn som du vill tilldela en användare eller säkerhetsgrupp från bladet Alla resurser.
På Data Lake Storage Gen1-kontobladet klickar du på Access Control (IAM). Bladet visar som standard prenumerationsägare som ägare.
På bladet Access Control (IAM) klickar du på Lägg till för att öppna bladet Lägg till behörigheter. På bladet Lägg till behörigheter väljer du en roll för användaren/gruppen. Leta efter den säkerhetsgrupp som du skapade tidigare i Microsoft Entra ID och välj den. Om du har många användare och grupper att söka från använder du textrutan Välj för att filtrera på gruppnamnet.

Rollen Ägare och Deltagare ger åtkomst till en mängd olika administrationsfunktioner på Data Lake-kontot. För användare som interagerar med data i datasjön men fortfarande behöver visa kontohanteringsinformation kan du lägga till dem i rollen Läsare . Omfånget för dessa roller är begränsat till de hanteringsåtgärder som är relaterade till Data Lake Storage Gen1-kontot.

För dataåtgärder definierar enskilda filsystembehörigheter vad användarna kan göra. Därför kan en användare som har rollen Läsare bara visa administrativa inställningar som är associerade med kontot, men kan potentiellt läsa och skriva data baserat på tilldelade filsystembehörigheter. Data Lake Storage Gen1 filsystembehörigheter beskrivs i Tilldela säkerhetsgrupp som ACL:er till filsystemet Azure Data Lake Storage Gen1.

Viktigt

Endast ägarrollen aktiverar automatiskt filsystemåtkomst. Deltagare, Läsare och alla andra roller kräver ACL:er för att aktivera åtkomstnivå till mappar och filer. Rollen Ägare ger behörigheter för superanvändares filer och mappar som inte kan åsidosättas via ACL:er. Mer information om hur Azure RBAC-principer mappas till dataåtkomst finns i Azure RBAC för kontohantering.
Om du vill lägga till en grupp/användare som inte finns med på bladet Lägg till behörigheter kan du bjuda in dem genom att skriva deras e-postadress i textrutan Välj och sedan välja dem i listan.
Klicka på Spara. Du bör se att säkerhetsgruppen har lagts till enligt nedan.
Din användar-/säkerhetsgrupp har nu åtkomst till Data Lake Storage Gen1-kontot. Om du vill ge åtkomst till specifika användare kan du lägga till dem i säkerhetsgruppen. På samma sätt kan du ta bort dem från säkerhetsgruppen om du vill återkalla åtkomsten för en användare. Du kan också tilldela flera säkerhetsgrupper till ett konto.

Tilldela användare eller säkerhetsgrupper som ACL:er till Data Lake Storage Gen1 filsystemet

Genom att tilldela användar-/säkerhetsgrupper till Data Lake Storage Gen1 filsystem anger du åtkomstkontroll för de data som lagras i Data Lake Storage Gen1.

På Data Lake Storage Gen1-kontobladet klickar du på Data Explorer.
På bladet Data Explorer klickar du på den mapp som du vill konfigurera ACL:en för och klickar sedan på Åtkomst. Om du vill tilldela ACL:er till en fil måste du först klicka på filen för att förhandsgranska den och sedan klicka på Åtkomst från bladet Förhandsgranskning av fil .
På bladet Åtkomst visas de ägare och tilldelade behörigheter som redan har tilldelats roten. Klicka på ikonen Lägg till för att lägga till ytterligare åtkomst-ACL:er.

Viktigt

Att ange åtkomstbehörigheter för en enskild fil ger inte nödvändigtvis en användare/grupp åtkomst till filen. Sökvägen till filen måste vara tillgänglig för den tilldelade användaren/gruppen. Mer information och exempel finns i Vanliga scenarier som rör behörigheter.
- Ägare och Alla andra ger UNIX-åtkomst, där du anger läsa, skriva, köra (rwx) till tre distinkta användarklasser: ägare, grupp och andra.
- Tilldelade behörigheter motsvarar POSIX-ACL:er som gör att du kan ange behörigheter för specifika namngivna användare eller grupper utöver filens ägare eller grupp.
  
  Mer information finns i ACL:er för HDFS. Mer information om hur ACL:er implementeras i Data Lake Storage Gen1 finns i Access Control i Data Lake Storage Gen1.
Klicka på ikonen Lägg till för att öppna bladet Tilldela behörigheter . På det här bladet klickar du på Välj användare eller grupp och letar sedan upp säkerhetsgruppen som du skapade tidigare i Microsoft Entra ID på bladet Välj användare eller grupp. Om du har många grupper att söka från använder du textrutan längst upp för att filtrera på gruppnamnet. Klicka på den grupp som du vill lägga till och klicka sedan på Välj.
Klicka på Välj behörigheter, välj behörigheterna, om behörigheterna ska tillämpas rekursivt och om du vill tilldela behörigheterna som en åtkomst-ACL, standard-ACL eller både och. Klicka på OK.

Mer information om behörigheter i Data Lake Storage Gen1 och ACL:er för standard/åtkomst finns i Access Control i Data Lake Storage Gen1.
När du har klickat på Ok på bladet Välj behörigheter visas nu den nyligen tillagda gruppen och associerade behörigheter på bladet Åtkomst .

Viktigt

I den aktuella versionen kan du ha upp till 28 poster under Tilldelade behörigheter. Om du vill lägga till fler än 28 användare bör du skapa säkerhetsgrupper, lägga till användare i säkerhetsgrupper, lägga till ge åtkomst till dessa säkerhetsgrupper för Data Lake Storage Gen1-kontot.
Om det behövs kan du också ändra åtkomstbehörigheterna när du har lagt till gruppen. Avmarkera eller markera kryssrutan för varje behörighetstyp (läsa, skriva, köra) baserat på om du vill ta bort eller tilldela behörigheten till säkerhetsgruppen. Klicka på Spara för att spara ändringarna eller Ignorera om du vill ångra ändringarna.

Ange IP-adressintervall för dataåtkomst

Data Lake Storage Gen1 kan du ytterligare låsa åtkomsten till ditt datalager på nätverksnivå. Du kan aktivera brandväggen, ange en IP-adress eller definiera ett IP-adressintervall för dina betrodda klienter. När den är aktiverad kan endast klienter som har IP-adresser inom det definierade intervallet ansluta till arkivet.

Brandväggsinställningar och IP-åtkomst

Ta bort säkerhetsgrupper för ett Data Lake Storage Gen1 konto

När du tar bort säkerhetsgrupper från Data Lake Storage Gen1 konton ändrar du bara åtkomsten till hanteringsåtgärderna för kontot med hjälp av API:erna Azure Portal och Azure Resource Manager.

Åtkomsten till data är oförändrad och hanteras fortfarande av åtkomst-ACL:erna. Undantaget är användare/grupper i rollen Ägare. Användare/grupper som tas bort från rollen Ägare är inte längre superanvändare och deras åtkomst återgår till åtkomsten till ACL-inställningarna.

På Data Lake Storage Gen1-kontobladet klickar du på Access Control (IAM).
På bladet Access Control (IAM) klickar du på de säkerhetsgrupper som du vill ta bort. Klicka på Ta bort.

Ta bort ACL:er för säkerhetsgrupper från ett Data Lake Storage Gen1 filsystem

När du tar bort ACL:er för säkerhetsgrupper från ett Data Lake Storage Gen1 filsystem ändrar du åtkomsten till data i Data Lake Storage Gen1-kontot.

På Data Lake Storage Gen1-kontobladet klickar du på Data Explorer.
På bladet Data Explorer klickar du på den mapp som du vill ta bort åtkomstkontrollistan för och klickar sedan på Åtkomst. Om du vill ta bort ACL:er för en fil måste du först klicka på filen för att förhandsgranska den och sedan klicka på Åtkomst från bladet Förhandsgranskning av fil .
På bladet Åtkomst klickar du på den säkerhetsgrupp som du vill ta bort. På bladet Åtkomstinformation klickar du på Ta bort.