使用 Azure 儲存體總管來管理 Azure Data Lake Storage Gen2 中的 ACL
本文說明如何使用 Azure 儲存體總管,在啟用階層命名空間 (HNS) 的儲存體帳戶中管理存取控制清單 (ACL)。
您可以使用儲存體總管進行檢視,然後更新目錄和檔案的 ACL。 在上層目錄底下新建的下層項目已可使用 ACL 繼承。 但您也可以在上層目錄的現有下層項目上以遞迴方式套用 ACL 設定,而不需要為每個下層項目個別執行這些變更。
本文說明如何修改檔案或目錄的 ACL,以及如何以遞迴方式將 ACL 設定套用至子目錄。
必要條件
Azure 訂用帳戶。 請參閱取得 Azure 免費試用。
已啟用階層命名空間 (HNS) 的儲存體帳戶。 遵循下列指示以建立帳戶。
Azure 儲存體總管安裝在本機電腦上。 若要安裝適用於 Windows、Macintosh 或 Linux 的 Azure 儲存體總管,請參閱 Azure 儲存體總管。
您必須具有下列其中一個安全性權限:
您的使用者身分識別已獲指派儲存體 Blob 資料擁有者角色,適用範圍為目標容器、儲存體帳戶、父資源群組或訂用帳戶。
對於您想要套用 ACL 設定的目標容器、目錄或 Blob,您為其擁有使用者。
注意
儲存體總管在使用 Azure Data Lake Storage Gen2 時,會使用 Blob (blob) 和 Data Lake Storage Gen2 (dfs) 端點。 如果使用私人端點設定 Azure Data Lake Storage Gen2 的存取權,請確定已為儲存體帳戶建立兩個私人端點:一個具有目標子資源 blob,另一個則具有目標子資源 dfs。
登入儲存體總管
您第一次啟動儲存體總管時,[Microsoft Azure 儲存體總管 - 連線至 Azure 儲存體] 視窗會隨即出現。 雖然儲存體總管提供數種方式可連線到儲存體帳戶,但目前只有一種方式支援管理 ACL。
在 [選取資源] 面板中,選取 [訂用帳戶]。
在 [選取 Azure 環境] 面板中,選取要登入的 Azure 環境。 您可以登入全域 Azure、國家雲端或 Azure Stack 執行個體。 然後選取下一步。
儲存體總管會開啟網頁讓您登入。
使用 Azure 帳戶成功登入後,該帳戶和與該帳戶相關聯的 Azure 訂用帳戶會出現在 [帳戶管理] 下方。 選取您要使用的 Azure 訂用帳戶,然後選取 [開啟總管]。
完成連線時,會載入 Azure 儲存體總管,並顯示 [總管] 索引標籤。 這個檢視可讓您深入了解您所有的 Azure 儲存體帳戶,以及透過 Azure 儲存體模擬器或 Azure Stack 環境設定的本機儲存體。
管理 ACL
在容器、目錄或檔案上按一下滑鼠右鍵,然後選取 [管理存取控制清單]。 下列螢幕擷取畫面顯示您在目錄上按一下滑鼠右鍵時所顯示的功能表。
[管理存取權] 對話方塊可讓您管理擁有者和擁有者群組的權限。 它也可以讓您將新的使用者和群組新增到存取控制清單,方便之後管理他們的權限。
若要將新的使用者或群組加到存取控制清單,請選取 [新增] 按鈕。 接著輸入和您想要新增至清單的相對應 Microsoft Entra 項目,然後選取 [新增]。 使用者或群組現在將會出現在 [使用者和群組:] 欄位中,讓您可以開始管理他們的權限。
注意
最佳做法和建議做法是在 Microsoft Entra ID 中建立安全性群組,並維護該群組的權限,而不是維護個別使用者的權限。 如需這項建議和其他最佳做法的詳細資料,請參閱 Azure Data Lake Storage Gen2 中的存取控制模型。
使用核取方塊控制項來設定存取權和預設 ACL。 若要深入了解這些 ACL 類型之間的差異,請參閱 ACL 的類型。
以遞迴方式套用 ACL
您可以在上層目錄的現有下層項目上以遞迴方式套用 ACL 項目,而不需要為每個下層項目個別執行這些變更。
若要以遞迴方式套用 ACL 項目,請在容器或目錄上按一下滑鼠右鍵,然後選取 [傳播存取控制清單]。 下列螢幕擷取畫面顯示您在目錄上按一下滑鼠右鍵時所顯示的功能表。
注意
[傳播存取控制清單] 選項僅在儲存體總管 1.28.1 或更新版本中提供。
下一步
了解 Data Lake Storage Gen2 權限模型。