Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Birçok kuruluş, akıllı kararlar almalarına yardımcı olmak için iş içgörüleri için büyük veri analizinden yararlanıyor. Bir kuruluşun karmaşık ve düzenlenmiş bir ortamı olabilir ve çok sayıda farklı kullanıcı olabilir. Tek tek kullanıcılara verilen doğru erişim düzeyiyle kritik iş verilerinin daha güvenli bir şekilde depolandığından emin olmak bir kuruluş için çok önemlidir. Azure Data Lake Storage 1. Nesil bu güvenlik gereksinimlerini karşılamaya yardımcı olmak için tasarlanmıştır. Bu makalede, aşağıdakiler dahil olmak üzere Data Lake Storage 1. Nesil güvenlik özellikleri hakkında bilgi edinin:
- Kimlik doğrulama
- İzin
- Ağ yalıtımı
- Veri koruma
- Denetim
Kimlik doğrulaması ve kimlik yönetimi
Kimlik doğrulaması, kullanıcı Data Lake Storage 1. Nesil veya Data Lake Storage 1. Nesil bağlanan herhangi bir hizmetle etkileşim kurduğunda kullanıcının kimliğinin doğrulandığı işlemdir. Kimlik yönetimi ve kimlik doğrulaması için Data Lake Storage 1. Nesil, kullanıcıların ve grupların yönetimini basitleştiren kapsamlı bir kimlik ve erişim yönetimi bulut çözümü olan Microsoft Entra Id'yi kullanır.
Her Azure aboneliği bir Microsoft Entra Id örneğiyle ilişkilendirilebilir. Azure portalını, komut satırı araçlarını veya kuruluşunuzun Data Lake Storage 1. Nesil SDK'sını kullanarak oluşturduğu istemci uygulamaları aracılığıyla yalnızca Microsoft Entra hizmetinizde tanımlanan kullanıcılar ve hizmet kimlikleri Data Lake Storage 1. Nesil hesabınıza erişebilir. Microsoft Entra ID'yi merkezi erişim denetim mekanizması olarak kullanmanın başlıca avantajları şunlardır:
- Basitleştirilmiş kimlik yaşam döngüsü yönetimi. Bir kullanıcının veya hizmetin (hizmet sorumlusu kimliği) kimliği, dizindeki hesabı silerek veya devre dışı bırakarak hızlı bir şekilde oluşturulabilir ve hızla iptal edilebilir.
- Çok faktörlü kimlik doğrulaması. Çok faktörlü kimlik doğrulaması , kullanıcı oturum açma işlemleri ve işlemleri için ek bir güvenlik katmanı sağlar.
- OAuth veya OpenID gibi standart bir açık protokol aracılığıyla herhangi bir istemciden kimlik doğrulaması.
- Kurumsal dizin hizmetleri ve bulut kimliği sağlayıcılarıyla federasyon.
Yetkilendirme ve erişim denetimi
Microsoft Entra, kullanıcının Data Lake Storage 1. Nesil erişebilmesi için kullanıcının kimliğini doğruladıktan sonra yetkilendirme, Data Lake Storage 1. Nesil erişim izinlerini denetler. Data Lake Storage 1. Nesil, hesapla ve veriyle ilgili etkinlikler için yetkilendirmeyi aşağıdaki şekilde ayırır:
- Hesap yönetimi için Azure rol tabanlı erişim denetimi (Azure RBAC)
- Depodaki verilere erişmek için POSIX ACL
Hesap yönetimi için Azure RBAC
varsayılan olarak Data Lake Storage 1. Nesil için dört temel rol tanımlanır. Roller Azure portalı, PowerShell cmdlet'leri ve REST API'leri aracılığıyla bir Data Lake Storage 1. Nesil hesabında farklı işlemlere izin verir. Sahip ve Katkıda Bulunan rolleri hesapta çeşitli yönetim işlevleri gerçekleştirebilir. Okuyucu rolünü yalnızca hesap yönetimi verilerini görüntüleyen kullanıcılara atayabilirsiniz.
Hesap yönetimi için roller atanmış olsa da bazı rollerin verilere erişimi etkilediğini unutmayın. Bir kullanıcının dosya sisteminde gerçekleştirebileceği işlemlere erişimi denetlemek için ACL'leri kullanmanız gerekir. Aşağıdaki tabloda, varsayılan roller için yönetim haklarının ve veri erişim haklarının özeti gösterilmektedir.
| Roller | Yönetim hakları | Veri erişim hakları | Açıklama |
|---|---|---|---|
| Rol atanmadı | Hiç kimse | ACL tarafından yönetilir | Kullanıcı, Data Lake Storage 1. Nesil göz atmak için Azure portalını veya Azure PowerShell cmdlet'lerini kullanamaz. Kullanıcı yalnızca komut satırı araçlarını kullanabilir. |
| Sahip | Tümü | Tümü | Sahip rolü bir süper kullanıcıdır. Bu rol her şeyi yönetebilir ve verilere tam erişime sahiptir. |
| Okuyucu | Sadece okunabilir | ACL tarafından yönetilir | Okuyucu rolü, hangi kullanıcının hangi role atandığı gibi hesap yönetimiyle ilgili her şeyi görüntüleyebilir. Okuyucu rolü herhangi bir değişiklik yapamaz. |
| Katılımcı | Rol ekleme ve kaldırma dışında tümü | ACL tarafından yönetilir | Katılımcı rolü, bir hesabın dağıtımları ve uyarıları oluşturma ve yönetme gibi belirli unsurlarını yönetebilir. Katkıda Bulunan rolü roller ekleyemez veya kaldıramaz. |
| Kullanıcı Erişimi Yöneticisi | Rol ekleme ve kaldırma | ACL tarafından yönetilir | Kullanıcı Erişimi Yöneticisi rolü, hesaplara kullanıcı erişimini yönetebilir. |
Yönergeler için bkz. Data Lake Storage 1. Nesil hesaplarına kullanıcı veya güvenlik grupları atama.
Dosya sistemlerindeki işlemler için ACL'leri kullanma
Data Lake Storage 1. Nesil, Hadoop Dağıtılmış Dosya Sistemi (HDFS) gibi hiyerarşik bir dosya sistemidir ve POSIX ACL'lerini destekler. Sahip rolü, Sahipler grubu ve diğer kullanıcılar ve gruplar için kaynaklarda okuma (r), yazma (w) ve yürütme (x) izinlerini denetler. Data Lake Storage 1. Nesil'de, ACL'ler kök klasörde, alt klasörlerde ve tek tek dosyalarda etkinleştirilebilir. ACL'lerin Data Lake Storage 1. Nesil bağlamında nasıl çalıştığı hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil'de erişim denetimi.
Güvenlik gruplarını kullanarak birden çok kullanıcı için ACL tanımlamanızı öneririz. Bir güvenlik grubuna kullanıcı ekleyin ve ardından bir dosya veya klasörün ACL'lerini bu güvenlik grubuna atayın. Atanan izinler için en fazla 28 girişle sınırlı olduğunuzdan, atanan izinler sağlamak istediğinizde bu yararlı olur. Microsoft Entra güvenlik gruplarını kullanarak Data Lake Storage 1. Nesil'de depolanan verilerin daha iyi güvenliğini sağlama hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil dosya sistemine kullanıcıları veya güvenlik grubunu ACL olarak atama.
Ağ yalıtımı
Veri deponuza erişimi ağ düzeyinde denetlemenize yardımcı olması için Data Lake Storage 1. Nesil kullanın. Güvenlik duvarları oluşturabilir ve güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz. Tanımlı IP adresi aralığında bir IP adresine sahip olan istemciler yalnızca Data Lake Storage Gen1'e bağlanabilir.
Azure sanal ağları (VNet) Data Lake 1. Nesil için hizmet etiketlerini destekler. Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış.
Veri koruma
Data Lake Storage 1. Nesil, verilerinizi yaşam döngüsü boyunca korur. aktarımdaki veriler için Data Lake Storage 1. Nesil, ağ üzerinden verilerin güvenliğini sağlamak için endüstri standardı Aktarım Katmanı Güvenliği (TLS 1.2) protokollerini kullanır.
Data Lake Storage 1. Nesil ayrıca hesapta depolanan veriler için şifreleme sağlar. Verilerinizin şifrelenmesini tercih edebilir ya da şifrelemeyi kabul etmeyebilirsiniz. Şifrelemeyi tercih ederseniz, Data Lake Storage 1. Nesil depolanan veriler kalıcı medyada depolanmadan önce şifrelenir. Böyle bir durumda, Data Lake Storage 1. Nesil verileri kalıcı hale getirmeden önce otomatik olarak şifreler ve verileri almadan önce şifrelerini çözer, böylece verilere erişen istemci için tamamen saydam olur. verileri şifrelemek/şifresini çözmek için istemci tarafında kod değişikliği gerekmez.
Anahtar yönetimi için Data Lake Storage 1. Nesil, ana şifreleme anahtarlarınızı (MEK) yönetmeye yönelik iki mod sağlar ve bu mod, Data Lake Storage 1. Nesil depolanan verilerin şifresini çözmek için gereklidir. MEK'leri sizin yerinize Data Lake Storage 1. Nesil yönetmesine izin verebilir veya Azure Key Vault hesabınızı kullanarak MEK'lerin sahipliğini korumayı seçebilirsiniz. Data Lake Storage 1. Nesil hesabı oluştururken anahtar yönetimi modunu belirtirsiniz. Şifrelemeyle ilgili yapılandırma sağlama hakkında daha fazla bilgi için bkz. Azure Portal'ı kullanarak Azure Data Lake Storage 1. Nesil'i kullanmaya başlama.
Etkinlik ve tanılama günlükleri
Hesap yönetimi veya veriyle ilgili etkinliklerin günlüklerini aradığınıza bağlı olarak, etkinlik veya tanılama günlüklerini kullanabilirsiniz.
- Hesap yönetimiyle ilgili etkinlikler Azure Resource Manager API'lerini kullanır ve etkinlik günlükleri aracılığıyla Azure portalında gösterilir.
- Veriyle ilgili etkinlikler WebHDFS REST API'lerini kullanır ve tanılama günlükleri aracılığıyla Azure portalında ortaya çıkar.
Etkinlik günlüğü
Düzenlemelere uymak için, belirli olaylara göz atması gerekiyorsa, bir kuruluş hesap yönetimi etkinliklerinin yeterli denetim izlerini gerektirebilir. Data Lake Storage 1. Nesil yerleşik izleme özelliğine sahiptir ve tüm hesap yönetimi etkinliklerini günlüğe kaydeder.
Hesap yönetimi denetim izleri için, günlüğe kaydetmek istediğiniz sütunları görüntüleyip seçin. Etkinlik günlüklerini Azure Depolama'ya da aktarabilirsiniz.
Etkinlik günlükleriyle çalışma hakkında daha fazla bilgi için bkz. Kaynaklardaki eylemleri denetlemek için etkinlik günlüklerini görüntüleme.
Tanılama günlükleri
Azure portalında veri erişimi denetimini ve tanılama günlüğünü etkinleştirebilir ve günlükleri bir Azure Blob depolama hesabına, olay hub'ına veya Azure İzleyici günlüklerine gönderebilirsiniz.
Data Lake Storage 1. Nesil ile tanılama günlükleriyle çalışma hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil için tanılama günlüklerine erişme.
Özet
Kurumsal müşteriler, güvenli ve kullanımı kolay bir veri analizi bulut platformu talep eder. Data Lake Storage 1. Nesil, Microsoft Entra tümleştirmesi, ACL tabanlı yetkilendirme, ağ yalıtımı, aktarımda ve beklemede veri şifreleme ve denetim aracılığıyla kimlik yönetimi ve kimlik doğrulaması yoluyla bu gereksinimleri karşılamaya yardımcı olmak için tasarlanmıştır.
Data Lake Storage 1. Nesil'da yeni özellikler görmek istiyorsanız, Data Lake Storage 1. Nesil UserVoice forumunda bize geri bildiriminizi gönderin.