Azure Storage Explorer を使用して Azure Data Lake Storage での ACL を管理する
この記事では、Azure Storage Explorer を使用して、階層型名前空間 (HNS) が有効になっているストレージ アカウントでアクセス制御リスト (ACL) を管理する方法を説明します。
Storage Explorer を使用して、ディレクトリとファイルの ACL を表示して更新することができます。 ACL の継承は、親ディレクトリの下に作成された新しい子項目に対して既に利用可能です。 ただし、親ディレクトリの既存の子項目に対して ACL 設定を再帰的に適用することもできます。各子項目に対してこれらの変更を個別に行う必要はありません。
この記事では、ファイルまたはディレクトリの ACL を変更する方法と、ACL 設定を子ディレクトリに再帰的に適用する方法について説明します。
前提条件
Azure サブスクリプション。 Azure 無料試用版の取得に関するページを参照してください。
階層型名前空間 (HNS) が有効になっているストレージ アカウント。 作成するには、こちらの手順に従います。
ローカル コンピューターにインストールされた Azure Storage Explorer。 Windows、Macintosh、または Linux 用の Azure Storage Explorer をインストールする方法については、「Azure Storage Explorer」をご覧ください。
次のセキュリティのアクセス許可のいずれかを持っている必要があります。
ユーザー ID に、ターゲット コンテナー、ストレージ アカウント、親リソース グループ、またはサブスクリプションのいずれかのスコープでストレージ BLOB データ所有者ロールが割り当てられている。
ACL 設定を適用する予定のターゲット コンテナー、ディレクトリ、または BLOB の所有ユーザーである。
Note
Storage Explorer では、Azure Data Lake Storage を操作するときに BLOB (blob) と Data Lake Storage (dfs) のエンドポイントが使用されます。 Azure Data Lake Storage へのアクセスがプライベート エンドポイントを使用して構成されている場合は、ストレージ アカウント用に 2 つのプライベート エンドポイント (1 つはターゲット サブリソース blob
用で、もう 1 つはターゲット サブリソース dfs
用) が作成されていることを確認します。
Storage Explorer にサインインする
Storage Explorer を初めて起動すると、Microsoft Azure Storage Explorer の [Azure Storage へ接続する] ウィンドウが表示されます。 Storage Explorer にはストレージ アカウントに接続する方法がいくつか用意されていますが、現在のところ、ACL の管理にサポートされている方法は 1 つのみです。
[リソースの選択] パネルで、 [サブスクリプション] を選択します。
[Azure 環境の選択] パネルで、サインインする Azure 環境を選択します。 グローバル Azure、各国のクラウド、または Azure Stack インスタンスにサインインできます。 [次へ] を選択します。
Storage Explorer でサインインするための Web ページが開きます。
Azure アカウントでのサインインに成功すると、そのアカウントとそのアカウントに関連付けられている Azure サブスクリプションが、 [アカウント管理] の下に表示されます。 操作する Azure サブスクリプションを選択してから、[エクスプローラーを開く] を選択します。
接続が完了すると、Azure Storage Explorer が読み込まれて [Explorer] タブが表示されます。 このビューには、すべての Azure ストレージ アカウント、および Azure ストレージ エミュレーターまたは Azure Stack 環境を使用して構成されたローカル ストレージの分析情報が表示されます。
ACL を管理する
コンテナー、ディレクトリ、またはファイルを右クリックし、[アクセス制御リストの管理] を選択します。 次のスクリーンショットは、ディレクトリを右クリックしたときに表示されるメニューを示しています。
[アクセスの管理] ダイアログ ボックスでは、所有者と所有者グループのアクセス許可を管理できます。 また、アクセス制御リストに新しいユーザーとグループを追加して、アクセス許可を管理することもできます。
新しいユーザーまたはグループをアクセス制御リストに追加するには、 [追加] ボタンを選択します。 次に、リストに追加する、対応する Microsoft Entra エントリを入力し、[追加] を選択します。 ユーザーまたはグループが [ユーザーとグループ:] フィールドに表示され、そのアクセス許可の管理を始めることができます。
Note
ベスト プラクティスであり、推奨される方法は、Microsoft Entra ID にセキュリティ グループを作成し、個々のユーザーではなくグループに対するアクセス許可を保守することです。 この推奨事項やその他のベスト プラクティスの詳細については、「Azure Data Lake Storage のアクセス制御モデル」を参照してください。
チェック ボックス コントロールを使用して、アクセスと既定の ACL を設定します。 ACL のこれらの種類の違いの詳細については、「ACL の種類」を参照してください。
ACL を再帰的に適用する
また、親ディレクトリの既存の子項目に対して ACL エントリを再帰的に適用できます。各子項目に対してこれらの変更を個別に行う必要はありません。
ACL エントリを再帰的に適用するには、コンテナーまたはディレクトリを右クリックし、[アクセス制御リストの伝達] を選択します。 次のスクリーンショットは、ディレクトリを右クリックしたときに表示されるメニューを示しています。
Note
[アクセス制御リストの伝達] オプションは、Storage Explorer 1.28.1 以降のバージョンでのみ使用できます。
次のステップ
Data Lake Storage アクセス許可モデルについて学びます。