使用 .NET 管理 Azure Data Lake Storage Gen2 中的 ACL
此文章說明如何使用 .NET 來取得、設定及更新目錄和檔案的存取控制清單。
在上層目錄底下新建的下層項目已可使用 ACL 繼承。 但是您也可以在父目錄的現有子項目上以遞迴方式新增、更新和移除 ACL,而不需要針對每個子項目個別進行這些變更。
套件 (NuGet) | 範例 | API 參考 | Gen1 對 Gen2 對應 | 提供意見反應
必要條件
Azure 訂用帳戶。 請參閱取得 Azure 免費試用。
已啟用階層命名空間 (HNS) 的儲存體帳戶。 遵循下列指示以建立帳戶。
Azure CLI
2.6.0版或更高版本。下列其中一個安全性權限:
已佈建的 Microsoft Entra ID 安全性主體,該主體已獲派儲存體 Blob 資料擁有者角色,且範圍設定為目標容器、儲存體帳戶、上層資源群組或訂用帳戶。
您計劃套用 ACL 設定的目標容器或目錄的擁有使用者。 若要以遞迴方式設定 ACL,這包括目標容器或目錄中的所有子項目。
儲存體帳戶金鑰。
設定您的專案
若要開始使用,請安裝 Azure.Storage.Files.DataLake NuGet 套件。
開啟命令視窗 (例如:Windows PowerShell)。
從您的專案目錄中,安裝 Azure。儲存體。DataLake preview 封裝,方法是使用
dotnet add package命令。dotnet add package Azure.Storage.Files.DataLake -v 12.6.0 -s https://pkgs.dev.azure.com/azure-sdk/public/_packaging/azure-sdk-for-net/nuget/v3/index.json然後,使用陳述式在程式碼檔案頂端加入下列命令。
using Azure; using Azure.Core; using Azure.Storage; using Azure.Storage.Files.DataLake; using Azure.Storage.Files.DataLake.Models; using System.Collections.Generic; using System.Threading.Tasks;
連線到帳戶
若要使用此文章中的程式碼片段,您必須建立代表儲存體帳戶的 DataLakeServiceClient 執行個體。
使用 Microsoft Entra ID 進行連線
注意
如果您使用 Microsoft Entra ID 來授權存取,則需確定已將儲存體 Blob 資料擁有者角色指派給您的安全性主體。 若要深入了解如何套用 ACL 權限以及變更權限的效果,請參閱 Azure Data Lake Storage Gen2 中的存取控制模型 (部分機器翻譯)。
您可以使用適用於 .NET 的 Azure 身分識別用戶端程式庫,以 Microsoft Entra ID 驗證應用程式。
安裝封裝之後,請將此 using 語句新增至程式碼檔案的頂端。
using Azure.Identity;
首先,您必須將下列其中一個 Azure 角色型存取控制 (Azure RBAC) 角色指派給您的安全性主體:
| 角色 | ACL 設定功能 |
|---|---|
| 儲存體 Blob 資料擁有者 | 帳戶中的所有目錄和檔案。 |
| 儲存體 Blob 資料參與者 | 只有安全性主體所擁有的目錄和檔案。 |
接著,建立 DataLakeServiceClient 執行個體,並傳入 DefaultAzureCredential 類別的新執行個體。
public static DataLakeServiceClient GetDataLakeServiceClient(string accountName)
{
string dfsUri = $"https://{accountName}.dfs.core.windows.net";
DataLakeServiceClient dataLakeServiceClient = new DataLakeServiceClient(
new Uri(dfsUri),
new DefaultAzureCredential());
return dataLakeServiceClient;
}
若要深入了解如何使用 DefaultAzureCredential 來授權存取資料,請參閱如何向 Azure 服務驗證 .NET 應用程式。
使用帳戶金鑰來連線
您可以使用您的帳戶存取金鑰 (共用金鑰) 來授權存取資料。 此範例會建立一個使用帳戶金鑰授權的 DataLakeServiceClient 執行個體。
public static DataLakeServiceClient GetDataLakeServiceClient(string accountName, string accountKey)
{
StorageSharedKeyCredential sharedKeyCredential =
new StorageSharedKeyCredential(accountName, accountKey);
string dfsUri = $"https://{accountName}.dfs.core.windows.net";
DataLakeServiceClient dataLakeServiceClient = new DataLakeServiceClient(
new Uri(dfsUri),
sharedKeyCredential);
return dataLakeServiceClient;
}
警告
不建議使用「共用金鑰」來進行授權,因為它可能不太安全。 為了獲得最佳的安全性,請停用透過「共用金鑰」對您的儲存體帳戶進行授權,如「防止 Azure 儲存體帳戶的共用金鑰授權」中所述。
使用存取金鑰和連接字串應僅限於未存取生產或敏感性資料的初始概念證明應用程式或開發原型。 否則,在對 Azure 資源進行驗證時,應一律優先使用 Azure SDK 中所提供的權杖型驗證類別。
Microsoft 建議用戶端使用 Microsoft Entra ID 或共用存取簽章 (SAS) 來授權存取 Azure 儲存體中的資料。 如需詳細資訊,請參閱授權作業進行資料存取。
設定 ACL
設定 ACL 時,您會取代整個 ACL,包括其所有項目。 如果您想要變更安全性主體的權限層級,或將新的安全性主體新增至 ACL,而不會影響其他現有的項目,您應該改為更新 ACL。 若要更新 ACL 而非取代,請參閱本文的更新 ACL 一節。
如果您選擇設定 ACL,則必須新增擁有使用者的項目、擁有群組的項目,以及所有其他使用者的項目。 若要深入了解擁有使用者、擁有群組和所有其他使用者,請參閱使用者和身分識別。
本節說明如何:
- 設定目錄的 ACL
- 設定檔案的 ACL
- 以遞迴方式設定 ACL
設定目錄的 ACL
藉由呼叫 DataLakeDirectoryClient.GetAccessControlAsync 方法來取得目錄的存取控制清單 (ACL),並藉由呼叫 DataLakeDirectoryClient.SetAccessControlList 方法來設定 ACL。
此範例會針對名為 my-directory 的目錄取得並設定 ACL。 字串 user::rwx,group::r-x,other::rw- 會為擁有使用者提供讀取、寫入及執行權限,僅為擁有群組提供讀取和執行權限,並為所有其他人員提供讀取和寫入權限。
public async Task ManageDirectoryACLs(DataLakeFileSystemClient fileSystemClient)
{
DataLakeDirectoryClient directoryClient =
fileSystemClient.GetDirectoryClient("");
PathAccessControl directoryAccessControl =
await directoryClient.GetAccessControlAsync();
foreach (var item in directoryAccessControl.AccessControlList)
{
Console.WriteLine(item.ToString());
}
IList<PathAccessControlItem> accessControlList
= PathAccessControlExtensions.ParseAccessControlList
("user::rwx,group::r-x,other::rw-");
directoryClient.SetAccessControlList(accessControlList);
}
您也可以取得和設定容器根目錄的 ACL。 若要取得根目錄,請將空字串 ("") 傳遞到 DataLakeFileSystemClient.GetDirectoryClient 方法。
設定檔案的 ACL
藉由呼叫 DataLakeFileClient.GetAccessControlAsync 方法來取得檔案的存取控制清單 (ACL),並藉由呼叫 DataLakeFileClient.SetAccessControlList 方法來設定 ACL。
此範例會針對名為 my-file.txt 的檔案取得並設定 ACL。 字串 user::rwx,group::r-x,other::rw- 會為擁有使用者提供讀取、寫入及執行權限,僅為擁有群組提供讀取和執行權限,並為所有其他人員提供讀取和寫入權限。
public async Task ManageFileACLs(DataLakeFileSystemClient fileSystemClient)
{
DataLakeDirectoryClient directoryClient =
fileSystemClient.GetDirectoryClient("my-directory");
DataLakeFileClient fileClient =
directoryClient.GetFileClient("hello.txt");
PathAccessControl FileAccessControl =
await fileClient.GetAccessControlAsync();
foreach (var item in FileAccessControl.AccessControlList)
{
Console.WriteLine(item.ToString());
}
IList<PathAccessControlItem> accessControlList
= PathAccessControlExtensions.ParseAccessControlList
("user::rwx,group::r-x,other::rw-");
fileClient.SetAccessControlList(accessControlList);
}
以遞迴方式設定 ACL
藉由呼叫 DataLakeDirectoryClient.SetAccessControlRecursiveAsync 方法,以遞迴方式設定 ACL。 將 PathAccessControlItem 物件的清單傳遞給這個方法。 每個 PathAccessControlItem 都會定義 ACL 項目。
如果您想要設定預設 ACL 專案,則可以將 PathAccessControlItem 的 PathAccessControlItem.DefaultScope 屬性設定為 true。
此範例會設定名為 my-parent-directory 目錄的 ACL。 這個方法會接受名為 isDefaultScope 的布林參數,指定是否要設定預設 ACL。 該參數是在 PathAccessControlItem的函式中使用。 ACL 的項目會為擁有使用者提供讀取、寫入及執行權限,僅為擁有群組提供讀取和執行權限,對所有其他人員不提供任何權限。 此範例中的最後一個 ACL 項目會向特定使用者提供物件識別碼 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的讀取和執行權限。
public async Task SetACLRecursively(DataLakeServiceClient serviceClient, bool isDefaultScope)
{
DataLakeDirectoryClient directoryClient =
serviceClient.GetFileSystemClient("my-container").
GetDirectoryClient("my-parent-directory");
List<PathAccessControlItem> accessControlList =
new List<PathAccessControlItem>()
{
new PathAccessControlItem(AccessControlType.User,
RolePermissions.Read |
RolePermissions.Write |
RolePermissions.Execute, isDefaultScope),
new PathAccessControlItem(AccessControlType.Group,
RolePermissions.Read |
RolePermissions.Execute, isDefaultScope),
new PathAccessControlItem(AccessControlType.Other,
RolePermissions.None, isDefaultScope),
new PathAccessControlItem(AccessControlType.User,
RolePermissions.Read |
RolePermissions.Execute, isDefaultScope,
entityId: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"),
};
await directoryClient.SetAccessControlRecursiveAsync
(accessControlList, null);
}
更新 ACL
當您更新 ACL 時,您會修改 ACL 而不是取代 ACL。 例如,您可以將新的安全性主體新增至 ACL,而不會影響 ACL 中列出的其他安全性主體。 若要取代 ACL 而不是更新,請參閱這篇文章的設定 ACL 一節。
本節說明如何:
- 更新 ACL
- 以遞迴方式更新 ACL
更新 ACL
首先,藉由呼叫 DataLakeDirectoryClient.GetAccessControlAsync 方法來取得目錄的 ACL。 將 ACL 專案清單複製到新的PathAccessControl物件清單。 然後找出您想要更新的項目,並將其取代為清單中的項目。 藉由呼叫 DataLakeDirectoryClient.SetAccessControlList 方法來設定 ACL。
此範例會藉由取代所有其他使用者的 ACL 項目,來更新根 ACL 容器。
public async Task UpdateDirectoryACLs(DataLakeFileSystemClient fileSystemClient)
{
DataLakeDirectoryClient directoryClient =
fileSystemClient.GetDirectoryClient("");
PathAccessControl directoryAccessControl =
await directoryClient.GetAccessControlAsync();
List<PathAccessControlItem> accessControlListUpdate
= (List<PathAccessControlItem>)directoryAccessControl.AccessControlList;
int index = -1;
foreach (var item in accessControlListUpdate)
{
if (item.AccessControlType == AccessControlType.Other)
{
index = accessControlListUpdate.IndexOf(item);
break;
}
}
if (index > -1)
{
accessControlListUpdate[index] = new PathAccessControlItem(AccessControlType.Other,
RolePermissions.Read |
RolePermissions.Execute);
directoryClient.SetAccessControlList(accessControlListUpdate);
}
}
以遞迴方式更新 ACL
若要以遞迴方式更新 ACL,請使用您想要更新的 ACL 項目來建立新的 ACL 物件,然後在更新 ACL 作業中使用該物件。 請勿取得現有的 ACL,只需提供要更新的 ACL 項目。
藉由呼叫 DataLakeDirectoryClient.UpdateAccessControlRecursiveAsync 方法,以遞迴方式更新 ACL。 將 PathAccessControlItem 物件的清單傳遞給這個方法。 每個 PathAccessControlItem 都會定義 ACL 項目。
如果您想要更新預設 ACL 專案,則可以將 PathAccessControlItem 的 PathAccessControlItem.DefaultScope 屬性設定為 true。
此範例會使用寫入權限更新 ACL 項目。 這個方法會接受名為 isDefaultScope 的布林參數,指定是否要更新預設 ACL。 該參數是在 PathAccessControlItem的函式中使用。
public async Task UpdateACLsRecursively(DataLakeServiceClient serviceClient, bool isDefaultScope)
{
DataLakeDirectoryClient directoryClient =
serviceClient.GetFileSystemClient("my-container").
GetDirectoryClient("my-parent-directory");
List<PathAccessControlItem> accessControlListUpdate =
new List<PathAccessControlItem>()
{
new PathAccessControlItem(AccessControlType.User,
RolePermissions.Read |
RolePermissions.Write |
RolePermissions.Execute, isDefaultScope,
entityId: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"),
};
await directoryClient.UpdateAccessControlRecursiveAsync
(accessControlListUpdate, null);
}
移除 ACL 項目
您可以移除一或多個 ACL 項目。 本節說明如何:
- 移除 ACL 項目
- 以遞迴方式移除 ACL 項目
移除 ACL 項目
首先,藉由呼叫 DataLakeDirectoryClient.GetAccessControlAsync 方法來取得目錄的 ACL。 將 ACL 專案清單複製到新的PathAccessControl物件清單。 然後找出您想要移除的項目,並呼叫集合的移除方法。 藉由呼叫 DataLakeDirectoryClient.setAccessControlList 方法來設定更新的 ACL。
此範例會藉由取代所有其他使用者的 ACL 項目,來更新根 ACL 容器。
public async Task RemoveDirectoryACLEntry
(DataLakeFileSystemClient fileSystemClient)
{
DataLakeDirectoryClient directoryClient =
fileSystemClient.GetDirectoryClient("");
PathAccessControl directoryAccessControl =
await directoryClient.GetAccessControlAsync();
List<PathAccessControlItem> accessControlListUpdate
= (List<PathAccessControlItem>)directoryAccessControl.AccessControlList;
PathAccessControlItem entryToRemove = null;
foreach (var item in accessControlListUpdate)
{
if (item.EntityId == "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
{
entryToRemove = item;
break;
}
}
if (entryToRemove != null)
{
accessControlListUpdate.Remove(entryToRemove);
directoryClient.SetAccessControlList(accessControlListUpdate);
}
}
以遞迴方式移除 ACL 項目
若要以遞迴方式移除 ACL 項目,請為要移除的 ACL 項目建立新 ACL 物件,然後在移除 ACL 作業中使用該物件。 請勿取得現有的 ACL,只需提供要移除的 ACL 項目。
藉由呼叫 DataLakeDirectoryClient.RemoveAccessControlRecursiveAsync 方法來移除 ACL 項目。 將 PathAccessControlItem 物件的清單傳遞給這個方法。 每個 PathAccessControlItem 都會定義 ACL 項目。
如果您想要移除預設 ACL 專案,則可以將 PathAccessControlItem 的 PathAccessControlItem.DefaultScope 屬性設定為 true。
此範例會從名為 my-parent-directory 的目錄 ACL,移除 ACL 項目。 這個方法會接受名為 isDefaultScope 的布林參數,指定是否要從預設 ACL 移除項目。 該參數是在 PathAccessControlItem的函式中使用。
public async Task RemoveACLsRecursively(DataLakeServiceClient serviceClient, bool isDefaultScope)
{
DataLakeDirectoryClient directoryClient =
serviceClient.GetFileSystemClient("my-container").
GetDirectoryClient("my-parent-directory");
List<RemovePathAccessControlItem> accessControlListForRemoval =
new List<RemovePathAccessControlItem>()
{
new RemovePathAccessControlItem(AccessControlType.User, isDefaultScope,
entityId: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"),
};
await directoryClient.RemoveAccessControlRecursiveAsync
(accessControlListForRemoval, null);
}
從失敗中復原
以遞迴方式修改 ACL 時,您可能會遇到執行階段或權限錯誤。 如果是執行階段錯誤,請從頭開始重新啟動程序。 如果安全性主體沒有足夠的權限可修改要修改的目錄階層中目錄或檔案的 ACL,則可能會發生權限錯誤。 解決權限問題,然後選擇使用接續權杖從失敗點繼續處理程序,或從頭開始重新啟動程序。 如果您想要從頭開始重新啟動,就不需要使用接續權杖。 您可以重新套用 ACL 項目,而不會產生負面影響。
此範例會在發生失敗時傳回接續權杖。 應用程式可以在解決錯誤之後,再次呼叫這個範例方法,然後傳入接續權杖。 如果是第一次呼叫此範例方法,應用程式可以傳入 null 的值作為接續權杖參數。
public async Task<string> ResumeAsync(DataLakeServiceClient serviceClient,
DataLakeDirectoryClient directoryClient,
List<PathAccessControlItem> accessControlList,
string continuationToken)
{
try
{
var accessControlChangeResult =
await directoryClient.SetAccessControlRecursiveAsync(
accessControlList, continuationToken: continuationToken, null);
if (accessControlChangeResult.Value.Counters.FailedChangesCount > 0)
{
continuationToken =
accessControlChangeResult.Value.ContinuationToken;
}
return continuationToken;
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
return continuationToken;
}
}
如果您想要讓程序完成而不受權限錯誤干擾,您可以指定。
若要確保處理常式完成不中斷,請傳入 AccessControlChangedOptions 物件,並將該物件的 ContinueOnFailure 屬性設定為 true。
此範例會以遞迴方式設定 ACL 項目。 如果此程式碼遇到權限錯誤,則會記錄該失敗並繼續執行。 此範例會將失敗次數列印到主控台。
public async Task ContinueOnFailureAsync(DataLakeServiceClient serviceClient,
DataLakeDirectoryClient directoryClient,
List<PathAccessControlItem> accessControlList)
{
var accessControlChangeResult =
await directoryClient.SetAccessControlRecursiveAsync(
accessControlList, null, new AccessControlChangeOptions()
{ ContinueOnFailure = true });
var counters = accessControlChangeResult.Value.Counters;
Console.WriteLine("Number of directories changed: " +
counters.ChangedDirectoriesCount.ToString());
Console.WriteLine("Number of files changed: " +
counters.ChangedFilesCount.ToString());
Console.WriteLine("Number of failures: " +
counters.FailedChangesCount.ToString());
}
最佳作法
本節提供您以遞迴方式設定 ACL 的一些最佳做法指導方針。
處理執行階段錯誤
有許多原因可能會發生執行階段錯誤 (例如:中斷或用戶端連線問題)。 如果您遇到執行階段錯誤,請重新啟動遞迴 ACL 程序。 ACL 可以重新套用至項目,而不會造成負面影響。
處理權限錯誤 (403)
如果您在執行遞迴 ACL 程序時遇到存取控制例外狀況,則您的 AD 安全性主體可能沒有足夠權限可將 ACL 套用至目錄階層中的一或多個子項目。 發生權限錯誤時,程序會停止,並提供接續權杖。 修正權限問題,然後使用接續權杖來處理剩餘的資料集。 已成功處理的目錄和檔案不需要重新處理。 您也可以選擇重新啟動遞迴 ACL 程序。 ACL 可以重新套用至項目,而不會造成負面影響。
認證
建議您在目標儲存體帳戶或容器的範圍中,佈建已獲指派儲存體 Blob 資料擁有者角色的 Microsoft Entra 安全性主體。
效能
若要減少延遲,建議您在位於與儲存體帳戶相同區域中的 Azure 虛擬機器 (VM) 中執行遞迴 ACL 程序。
ACL 限制
您可以套用至目錄或檔案的 ACL 數目上限是 32 個存取 ACL 和 32 個預設 ACL。 如需詳細資訊,請參閱 Azure Data Lake Storage Gen2 中的存取控制。