Åtkomstkontrollistor (ACL: er) i Azure Data Lake Storage Gen2

Azure Data Lake Storage Gen2 implementerar en åtkomstkontrollmodell som stöder både rollbaserad åtkomstkontroll i Azure (Azure RBAC) och POSIX-liknande åtkomstkontrollistor (ACL:er). Den här artikeln beskriver åtkomstkontrollistor i Data Lake Storage Gen2. Information om hur du införlivar Azure RBAC tillsammans med ACL:er och hur systemet utvärderar dem för att fatta auktoriseringsbeslut finns i Åtkomstkontrollmodell i Azure Data Lake Storage Gen2.

Om ACL:er

Du kan associera ett säkerhetsobjekt med en åtkomstnivå för filer och kataloger. Varje association registreras som en post i en åtkomstkontrollista (ACL). Varje fil och katalog i lagringskontot har en åtkomstkontrollista. När ett säkerhetsobjekt försöker utföra en åtgärd på en fil eller katalog avgör en ACL-kontroll om säkerhetsobjektet (användaren, gruppen, tjänstens huvudnamn eller hanterade identitet) har rätt behörighetsnivå för att utföra åtgärden.

Anteckning

ACL:er gäller endast för säkerhetsobjekt i samma klientorganisation och de gäller inte för användare som använder tokenautentisering med delad nyckel eller signatur för delad åtkomst (SAS). Det beror på att ingen identitet är associerad med anroparen och därför kan inte behörighetsbaserad auktorisering för säkerhetsobjekt utföras.

Så här ställer du in ACL:er

Information om hur du anger behörigheter på fil- och katalognivå finns i någon av följande artiklar:

Miljö Artikel
Azure Storage Explorer Använda Azure Storage Explorer för att hantera ACL:er i Azure Data Lake Storage Gen2
Azure Portal Använd Azure Portal för att hantera ACL:er i Azure Data Lake Storage Gen2
.NET Använda .NET för att hantera ACL:er i Azure Data Lake Storage Gen2
Java Använda Java för att hantera ACL:er i Azure Data Lake Storage Gen2
Python Använda Python för att hantera ACL:er i Azure Data Lake Storage Gen2
JavaScript (Node.js) Använd JavaScript SDK i Node.js för att hantera ACL:er i Azure Data Lake Storage Gen2
PowerShell Använda PowerShell för att hantera ACL:er i Azure Data Lake Storage Gen2
Azure CLI Använda Azure CLI för att hantera ACL:er i Azure Data Lake Storage Gen2
REST-API Sökväg – Uppdatera

Viktigt

Om säkerhetsobjektet är ett huvudnamn för tjänsten är det viktigt att använda objekt-ID:t för tjänstens huvudnamn och inte objekt-ID:t för den relaterade appregistreringen. Om du vill hämta objekt-ID:t för tjänstens huvudnamn öppnar du Azure CLI och använder sedan det här kommandot: az ad sp show --id <Your App ID> --query objectId. se till att ersätta <Your App ID> platshållaren med app-ID:t för din appregistrering.

Typer av ACL:er

Det finns två typer av åtkomstkontrollistor: åtkomst-ACL:er och standard-ACL:er.

Åtkomst-ACL:er kontrollerar åtkomst till ett objekt. Filer och kataloger har båda åtkomst-ACL:er.

Standard-ACL:er är mallar för ACL:er som är associerade med en katalog som fastställer åtkomst-ACL:er för underordnade objekt som skapas under katalogen. Filer har inte standard-ACL:er.

Både åtkomst-ACL:er och standard-ACL:er har samma struktur.

Anteckning

Om du ändrar standard-ACL för en överordnad påverkar det inte åtkomst-ACL eller standard-ACL för underordnade objekt som redan finns.

Behörighetsnivåer

Behörigheterna för kataloger och filer i en container är Läs, Skriv och Kör, och de kan användas på filer och kataloger enligt följande tabell:

Fil Katalog
Läsa (R) Kan läsa innehållet i en fil Kräver läsning och körning för att visa innehållet i katalogen
Skriva (W) Kan skriva eller lägg till i en fil Kräver skrivning och körning för att skapa underordnade objekt i en katalog
Köra (X) Betyder ingenting i samband med Data Lake Storage Gen2 Krävs för att bläddra i underordnade objekt i en katalog

Anteckning

Om du beviljar behörigheter med hjälp av endast ACL:er (ingen Azure RBAC) måste du ge säkerhetsobjektet behörighet att köra till containerns rotmapp och till varje mapp i hierarkin med mappar som leder till filen.

Kortformat för behörigheter

RWXanvänds för att ange läsa + skriva + köra. Ett numeriskt mer komprimerat format finns där Läsa = 4, skriva = 2 och Köra = 1 och deras summa representerar behörigheterna. Här följer några exempel.

Numeriskt format Kortformat Vad det innebär
7 RWX Läsa + skriva + köra
5 R-X Läsa + köra
4 R-- Läs
0 --- Inga behörigheter

Arv av behörigheter

I POSIX-modellen som används av Data Lake Storage Gen2 lagras behörigheter för ett objekt på själva objektet. Med andra ord kan behörigheter för ett objekt inte ärvas från de överordnade objekten om behörigheterna anges när det underordnade objektet redan har skapats. Behörigheter ärvs endast om standardbehörigheter har angetts för de överordnade objekten innan de underordnade objekten har skapats.

I följande tabell visas de ACL-poster som krävs för att aktivera ett säkerhetsobjekt för att utföra de åtgärder som anges i kolumnen Åtgärd .

Den här tabellen visar en kolumn som representerar varje nivå i en fiktiv kataloghierarki. Det finns en kolumn för containerns rotkatalog (/), en underkatalog med namnet Oregon, en underkatalog till Oregon-katalogen Portland och en textfil i Portland-katalogen med namnetData.txt.

Viktigt

Den här tabellen förutsätter att du endast använder ACL:er utan några Azure-rolltilldelningar. En liknande tabell som kombinerar Azure RBAC tillsammans med ACL:er finns i tabellen Behörigheter: Kombinera Azure RBAC och ACL.

Åtgärd / Oregon/ Portland/ Data.txt
Läs Data.txt --X --X --X R--
Lägg till i Data.txt --X --X --X RW-
Ta bort Data.txt --X --X -WX ---
Skapa Data.txt --X --X -WX ---
Lista/ R-X --- --- ---
Lista /Oregon/ --X R-X --- ---
Lista /Oregon/Portland/ --X --X R-X ---

Anteckning

Skrivbehörigheter för filen krävs inte för att ta bort den, så länge de föregående två villkoren är sanna.

Användare och identiteter

Varje fil och katalog har distinkta behörigheter för dessa identiteter:

  • Ägande användare
  • Ägande grupp
  • Namngivna användare
  • Namngivna grupper
  • Namngivna tjänstens huvudnamn
  • Namngivna hanterade identiteter
  • Alla andra användare

Identiteten för användare och grupper är Azure Active Directory (Azure AD)-identiteter. Så om inget annat anges kan en användare, i kontexten för Data Lake Storage Gen2, referera till en Azure AD användare, tjänstens huvudnamn, hanterad identitet eller säkerhetsgrupp.

Ägande användare

Användaren som skapade objektet är automatiskt ägande användare för objektet. En ägande användare kan:

  • Ändra behörigheterna för en fil som ägs.
  • Ändra ägande grupp för en fil som ägs, så länge den ägande användaren också är medlem i målgruppen.

Anteckning

Ägande användare kan inte ändra ägande användare av en fil eller katalog. Endast superanvändare kan ändra ägande användare av en fil eller katalog.

Ägande grupp

I POSIX-ACL:er är varje användare associerad med en primär grupp. Användaren "Alice" kan till exempel tillhöra gruppen "finance". Alice kan också tillhöra flera grupper, men en grupp har alltid angetts som deras primära grupp. När Alice skapar en fil i POSIX är ägandegruppen för filen inställd på hennes primära grupp, som i det här fallet är "ekonomi". Den ägande gruppen fungerar annars på samma sätt som tilldelade behörigheter för andra användare/grupper.

Tilldela ägande grupp för en ny fil eller katalog

  • Fall 1: Rotkatalogen /. Den här katalogen skapas när en Data Lake Storage Gen2 container skapas. I det här fallet är ägandegruppen inställd på den användare som skapade containern om den gjordes med OAuth. Om containern skapas med hjälp av delad nyckel, ett konto-SAS eller en tjänst-SAS är ägaren och ägande gruppen inställda på $superuser.
  • Fall 2 (vartannat fall): När ett nytt objekt skapas kopieras ägandegruppen från den överordnade katalogen.

Ändra ägande grupp

Den ägande gruppen kan ändras av:

  • Alla superanvändare.
  • Den ägande användaren, om den ägande användaren också är medlem i målgruppen.

Anteckning

Den ägande gruppen kan inte ändra ACL:er för en fil eller katalog. Även om ägandegruppen är inställd på den användare som skapade kontot när det gäller rotkatalogen, ärende 1 ovan, är ett enskilt användarkonto inte giltigt för att ge behörigheter via den ägande gruppen. Du kan tilldela den här behörigheten till en giltig användargrupp, om det är lämpligt.

Så här utvärderas behörigheter

Identiteter utvärderas i följande ordning:

  1. Superanvändare
  2. Ägande användare
  3. Namngiven användare, tjänstens huvudnamn eller hanterad identitet
  4. Ägande grupp eller namngiven grupp
  5. Alla andra användare

Om mer än en av dessa identiteter gäller för ett säkerhetsobjekt beviljas den behörighetsnivå som är associerad med den första identiteten. Om ett säkerhetsobjekt till exempel är både den ägande användaren och en namngiven användare gäller behörighetsnivån som är associerad med den ägande användaren.

Namngivna grupper betraktas alla tillsammans. Om ett säkerhetsobjekt är medlem i mer än en namngiven grupp utvärderar systemet varje grupp tills den önskade behörigheten har beviljats. Om ingen av de namngivna grupperna ger önskad behörighet går systemet vidare för att utvärdera en begäran mot den behörighet som är associerad med alla andra användare.

Följande pseudokod representerar algoritmen för åtkomstkontroll för lagringskonton. Den här algoritmen visar i vilken ordning identiteter utvärderas.

def access_check( user, desired_perms, path ) :
  # access_check returns true if user has the desired permissions on the path, false otherwise
  # user is the identity that wants to perform an operation on path
  # desired_perms is a simple integer with values from 0 to 7 ( R=4, W=2, X=1). User desires these permissions
  # path is the file or directory
  # Note: the "sticky bit" isn't illustrated in this algorithm

  # Handle super users.
  if (is_superuser(user)) :
    return True

  # Handle the owning user. Note that mask isn't used.
  entry = get_acl_entry( path, OWNER )
  if (user == entry.identity)
      return ( (desired_perms & entry.permissions) == desired_perms )

  # Handle the named users. Note that mask IS used.
  entries = get_acl_entries( path, NAMED_USER )
  for entry in entries:
      if (user == entry.identity ) :
          mask = get_mask( path )
          return ( (desired_perms & entry.permissions & mask) == desired_perms)

  # Handle named groups and owning group
  member_count = 0
  perms = 0
  entries = get_acl_entries( path, NAMED_GROUP | OWNING_GROUP )
  mask = get_mask( path )
  for entry in entries:
    if (user_is_member_of_group(user, entry.identity)) :
        if ((desired_perms & entry.permissions & mask) == desired_perms)
            return True

  # Handle other
  perms = get_perms_for_other(path)
  mask = get_mask( path )
  return ( (desired_perms & perms & mask ) == desired_perms)

Masken

Som du ser i algoritmen för åtkomstkontroll begränsar masken åtkomsten för namngivna användare, den ägande gruppen och namngivna grupper.

För en ny Data Lake Storage Gen2 container är masken för åtkomst-ACL för rotkatalogen ("/") standard 750 för kataloger och 640 för filer. I följande tabell visas den symboliska notationen för dessa behörighetsnivåer.

Entitet Kataloger Filer
Ägande användare rwx rw-
Ägande grupp r-x r--
Annat --- ---

Filer får inte X-biten eftersom den är irrelevant för filer i ett system med endast lagring.

Masken kan anges per samtal. Detta gör att olika användningssystem, till exempel kluster, kan ha olika effektiva masker för sina filåtgärder. Om en mask anges för en viss begäran åsidosätter den helt standardmasken.

Sticky bit

Den klibbiga biten är en mer avancerad funktion i en POSIX-container. När det gäller Data Lake Storage Gen2 är det osannolikt att den klibbiga biten kommer att behövas. Sammanfattningsvis kan ett underordnat objekt bara tas bort eller byta namn på det underordnade objektets ägande användare, katalogens ägare eller Superuser ($superuser).

Den klibbiga biten visas inte i Azure Portal.

Standardbehörigheter för nya filer och kataloger

När en ny fil eller katalog skapas under en befintlig katalog avgör standard-ACL:en i den överordnade katalogen:

  • En underordnad katalogs standard-ACL och åtkomst-ACL.
  • En underordnad fils åtkomst-ACL (filer har ingen standard-ACL).

umask

När du skapar en standard-ACL tillämpas umask på åtkomst-ACL för att fastställa de första behörigheterna för en standard-ACL. Om en standard-ACL definieras i den överordnade katalogen ignoreras umasken effektivt och standard-ACL för den överordnade katalogen används för att definiera dessa initiala värden i stället.

Umask är ett 9-bitars värde på överordnade kataloger som innehåller ett RWX-värde för ägande användare, ägande grupp och annat.

Umask för Azure Data Lake Storage Gen2 ett konstant värde som är inställt på 007. Det här värdet översätts till:

umask-komponent Numeriskt format Kortformat Innebörd
umask.owning_user 0 --- För ägande användare kopierar du den överordnades åtkomst-ACL till den underordnades standard-ACL
umask.owning_group 0 --- För ägande grupp kopierar du den överordnades åtkomst-ACL till den underordnades standard-ACL
umask.other 7 RWX För andra tar du bort alla behörigheter för barnets åtkomst-ACL

Vanliga frågor

Måste jag aktivera stöd för ACL:er?

Nej. Åtkomstkontroll via ACL:er är aktiverad för ett lagringskonto så länge funktionen Hierarkisk namnrymd (HNS) är aktiverad.

Om HNS är inaktiverat gäller fortfarande Azure RBAC-auktoriseringsreglerna.

Vilket är det bästa sättet att tillämpa ACL:er?

Använd alltid Azure AD säkerhetsgrupper som det tilldelade huvudnamnet i en ACL-post. Motstå möjligheten att direkt tilldela enskilda användare eller tjänstens huvudnamn. Med den här strukturen kan du lägga till och ta bort användare eller tjänstens huvudnamn utan att behöva tillämpa ACL:er på en hel katalogstruktur igen. I stället kan du bara lägga till eller ta bort användare och tjänstens huvudnamn från lämplig Azure AD säkerhetsgrupp.

Det finns många olika sätt att konfigurera grupper. Anta till exempel att du har en katalog med namnet /LogData som innehåller loggdata som genereras av servern. Azure Data Factory (ADF) matar in data i den mappen. Specifika användare från serviceteknikteamet laddar upp loggar och hanterar andra användare av den här mappen, och olika Databricks-kluster analyserar loggar från den mappen.

Om du vill aktivera dessa aktiviteter kan du skapa en LogsWriter grupp och en LogsReader grupp. Sedan kan du tilldela behörigheter på följande sätt:

  • LogsWriter Lägg till gruppen i ACL för katalogen /LogData med rwx behörigheter.
  • LogsReader Lägg till gruppen i ACL för katalogen /LogData med r-x behörigheter.
  • Lägg till objektet för tjänstens huvudnamn eller hanterad tjänstidentitet (MSI) för ADF i LogsWriters gruppen.
  • Lägg till användare i serviceteknikteamet i LogsWriter gruppen.
  • Lägg till objektet för tjänstens huvudnamn eller MSI för Databricks i LogsReader gruppen.

Om en användare i serviceteknikteamet lämnar företaget kan du bara ta bort dem från LogsWriter gruppen. Om du inte lade till den användaren i en grupp, utan i stället lade till en dedikerad ACL-post för den användaren, måste du ta bort den ACL-posten från katalogen /LogData . Du måste också ta bort posten från alla underkataloger och filer i hela kataloghierarkin i katalogen /LogData .

Information om hur du skapar en grupp och lägger till medlemmar finns i Skapa en grundläggande grupp och lägga till medlemmar med Azure Active Directory.

Hur utvärderas Azure RBAC- och ACL-behörigheter?

Information om hur systemet utvärderar Azure RBAC och ACL:er tillsammans för att fatta auktoriseringsbeslut för lagringskontoresurser finns i Så här utvärderas behörigheter.

Vilka är gränserna för Azure-rolltilldelningar och ACL-poster?

Följande tabell innehåller en sammanfattning av de gränser som du kan tänka på när du använder Azure RBAC för att hantera "grovkorniga" behörigheter (behörigheter som gäller för lagringskonton eller containrar) och använder ACL:er för att hantera "detaljerade" behörigheter (behörigheter som gäller för filer och kataloger). Använd säkerhetsgrupper för ACL-tilldelningar. Med hjälp av grupper är det mindre troligt att du överskrider det maximala antalet rolltilldelningar per prenumeration och det maximala antalet ACL-poster per fil eller katalog.

Mekanism Omfång Gränser Behörighetsnivå som stöds
Azure RBAC Lagringskonton, containrar.
Azure-rolltilldelningar mellan resurser på prenumerations- eller resursgruppsnivå.
4 000 Azure-rolltilldelningar i en prenumeration Azure-roller (inbyggda eller anpassade)
ACL Katalog, fil 32 ACL-poster (i praktiken 28 ACL-poster) per fil och per katalog. Åtkomst- och standard-ACL:er har varsin gräns på 32 ACL. ACL-behörighet

Stöder Data Lake Storage Gen2 arv av Azure RBAC?

Azure-rolltilldelningar ärver. Tilldelningar flödar från prenumerations-, resursgrupps- och lagringskontoresurser ned till containerresursen.

Stöder Data Lake Storage Gen2 arv av ACL:er?

Standard-ACL:er kan användas för att ange ACL:er för nya underordnade underkataloger och filer som skapats under den överordnade katalogen. Om du vill uppdatera ACL:er för befintliga underordnade objekt måste du lägga till, uppdatera eller ta bort ACL:er rekursivt för den önskade kataloghierarkin. Vägledning finns i avsnittet Så här anger du ACL:er i den här artikeln.

Vilka behörigheter krävs för att rekursivt ta bort en katalog och dess innehåll?

  • Anroparen har "superanvändare"-behörigheter,

Eller

  • Den överordnade katalogen måste ha skriv- och körningsbehörigheter.
  • Katalogen som ska tas bort och alla kataloger i den kräver läs- och skrivbehörigheter .

Anteckning

Du behöver inte skrivbehörighet för att ta bort filer i kataloger. Dessutom kan rotkatalogen "/" aldrig tas bort.

Vem är ägare till en fil eller katalog?

Skaparen av en fil eller katalog blir ägare. När det gäller rotkatalogen är detta identiteten för den användare som skapade containern.

Vilken grupp anges som ägande grupp för en fil eller katalog när den skapas?

Ägandegruppen kopieras från den ägande gruppen i den överordnade katalogen under vilken den nya filen eller katalogen skapas.

Jag äger en fil, men jag har inte de RWX-behörigheter jag behöver. Vad gör jag nu?

Den ägande användaren kan lätt ändra behörigheterna för filen för att ge sig själva de RWX-behörigheter de behöver.

Varför ser jag ibland GUID:er i ACL:er?

Ett GUID visas om posten representerar en användare och användaren inte längre finns i Azure AD. Detta inträffar vanligtvis när användaren har lämnat företaget eller om kontot har tagits bort i Azure AD. Dessutom har tjänstens huvudnamn och säkerhetsgrupper inte något UPN (User Principal Name) för att identifiera dem och representeras därför av deras OID-attribut (ett guid).

Hur gör jag för att ange ACL:er korrekt för ett huvudnamn för tjänsten?

När du definierar ACL:er för tjänstens huvudnamn är det viktigt att använda objekt-ID (OID) för tjänstens huvudnamn för appregistreringen som du skapade. Observera att registrerade appar har ett separat huvudnamn för tjänsten i den specifika Azure AD klientorganisationen. Registrerade appar har en OID som visas i Azure Portal, men tjänstens huvudnamn har en annan (annan) OID. Artikel Om du vill hämta OID för tjänstens huvudnamn som motsvarar en appregistrering kan du använda az ad sp show kommandot . Ange program-ID som parameter. Här är ett exempel på hur du hämtar OID för tjänstens huvudnamn som motsvarar en appregistrering med App-ID = 18218b12-1895-43e9-ad80-6e8fc1ea88ce. Kör följande kommando i Azure CLI:

az ad sp show --id 18218b12-1895-43e9-ad80-6e8fc1ea88ce --query objectId

OID visas.

När du har rätt OID för tjänstens huvudnamn går du till sidan Storage Explorer Hantera åtkomst för att lägga till OID och tilldela lämpliga behörigheter för OID. Se till att du väljer Spara

Kan jag ange ACL för en container?

Nej. En container har ingen ACL. Du kan dock ange ACL för containerns rotkatalog. Varje container har en rotkatalog och delar samma namn som containern. Om containern till exempel heter my-containerheter my-container/rotkatalogen .

Rest-API:et för Azure Storage innehåller en åtgärd med namnet Ange container-ACL, men den åtgärden kan inte användas för att ange ACL för en container eller rotkatalogen för en container. I stället används den åtgärden för att ange om blobar i en container kan nås med en anonym begäran. Vi rekommenderar att du kräver auktorisering för alla begäranden till blobdata. Mer information finns i Översikt: Åtgärda anonym offentlig läsåtkomst för blobdata.

Var hittar jag mer information om POSIX-modellen för åtkomstkontroll?

Se även