Securing data stored in Azure Data Lake Storage Gen1 (Zabezpieczanie danych przechowywanych w usłudze Azure Data Lake Storage Gen1)

Zabezpieczanie danych w usłudze Azure Data Lake Storage Gen1 to podejście trzyetapowe. Zarówno kontrola dostępu oparta na rolach (RBAC) platformy Azure, jak i listy kontroli dostępu (ACL) platformy Azure muszą być ustawione tak, aby w pełni umożliwić dostęp do danych dla użytkowników i grup zabezpieczeń.

1. Zacznij od utworzenia grup zabezpieczeń w Tożsamość Microsoft Entra. Te grupy zabezpieczeń są używane do implementowania kontroli dostępu na podstawie ról (RBAC) platformy Azure w Azure Portal.
2. Przypisz grupy zabezpieczeń Microsoft Entra do konta Data Lake Storage Gen1. Kontroluje to dostęp do konta Data Lake Storage Gen1 z poziomu portalu i operacji zarządzania z poziomu portalu lub interfejsów API.
3. Przypisz grupy zabezpieczeń Microsoft Entra jako listy kontroli dostępu (ACL) w systemie plików Data Lake Storage Gen1.
4. Ponadto można również ustawić zakres adresów IP dla klientów, którzy mogą uzyskiwać dostęp do danych w Data Lake Storage Gen1.

Ten artykuł zawiera instrukcje dotyczące używania Azure Portal do wykonywania powyższych zadań. Aby uzyskać szczegółowe informacje na temat sposobu, w jaki Data Lake Storage Gen1 implementuje zabezpieczenia na poziomie konta i danych, zobacz Zabezpieczenia w usłudze Azure Data Lake Storage Gen1. Aby uzyskać szczegółowe informacje na temat sposobu implementacji list ACL w Data Lake Storage Gen1, zobacz Omówienie Access Control w Data Lake Storage Gen1.

Wymagania wstępne

Przed przystąpieniem do wykonania kroków opisanych w tym samouczku należy dysponować następującymi elementami:

• Subskrypcja platformy Azure. Zobacz temat Uzyskiwanie bezpłatnej wersji próbnej platformy Azure.
• Konto Data Lake Storage Gen1. Aby uzyskać instrukcje dotyczące tworzenia, zobacz Wprowadzenie do usługi Azure Data Lake Storage Gen1

Tworzenie grup zabezpieczeń w Tożsamość Microsoft Entra

Aby uzyskać instrukcje dotyczące tworzenia Microsoft Entra grup zabezpieczeń i dodawania użytkowników do grupy, zobacz Zarządzanie grupami zabezpieczeń w Tożsamość Microsoft Entra.

Uwaga

Możesz dodać użytkowników i inne grupy do grupy w Tożsamość Microsoft Entra przy użyciu Azure Portal. Jednak aby dodać jednostkę usługi do grupy, użyj modułu programu PowerShell Tożsamość Microsoft Entra.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Przypisywanie użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1

Po przypisaniu użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1 można kontrolować dostęp do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

1. Otwórz konto Data Lake Storage Gen1. W okienku po lewej stronie kliknij pozycję Wszystkie zasoby, a następnie w bloku Wszystkie zasoby kliknij nazwę konta, do którego chcesz przypisać użytkownika lub grupę zabezpieczeń.

2. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami). Blok domyślnie wyświetla listę właścicieli subskrypcji jako właściciela.

   

3. W bloku Access Control (zarządzanie dostępem i tożsamościami) kliknij przycisk Dodaj, aby otworzyć blok Dodawanie uprawnień. W bloku Dodawanie uprawnień wybierz rolę dla użytkownika/grupy. Wyszukaj utworzoną wcześniej grupę zabezpieczeń w Tożsamość Microsoft Entra i wybierz ją. Jeśli masz wielu użytkowników i grupy do wyszukania, użyj pola tekstowego Wybierz , aby odfiltrować nazwę grupy.

   

   Rola Właściciel i Współautor zapewniają dostęp do różnych funkcji administracyjnych na koncie usługi Data Lake. W przypadku użytkowników, którzy będą wchodzić w interakcje z danymi w usłudze Data Lake, ale nadal muszą wyświetlać informacje o zarządzaniu kontami, możesz dodać je do roli Czytelnik . Zakres tych ról jest ograniczony do operacji zarządzania związanych z kontem Data Lake Storage Gen1.

   W przypadku operacji na danych poszczególne uprawnienia systemu plików definiują, co użytkownicy mogą robić. W związku z tym użytkownik mający rolę Czytelnik może wyświetlać tylko ustawienia administracyjne skojarzone z kontem, ale może potencjalnie odczytywać i zapisywać dane na podstawie przypisanych do nich uprawnień systemu plików. Data Lake Storage Gen1 uprawnienia systemu plików opisano w temacie Przypisywanie grupy zabezpieczeń jako list ACL do systemu plików Azure Data Lake Storage Gen1.

   Ważne

   Tylko rola Właściciel automatycznie włącza dostęp do systemu plików. Współautor, Czytelnik i wszystkie inne role wymagają list ACL w celu włączenia dowolnego poziomu dostępu do folderów i plików. Rola Właściciel zapewnia uprawnienia do plików i folderów administratora, których nie można zastąpić za pośrednictwem list ACL. Aby uzyskać więcej informacji na temat mapowania zasad RBAC platformy Azure na dostęp do danych, zobacz Kontrola dostępu na podstawie ról na platformie Azure na potrzeby zarządzania kontami.

4. Jeśli chcesz dodać grupę/użytkownika, która nie znajduje się na liście w bloku Dodawanie uprawnień , możesz je zaprosić, wpisując ich adres e-mail w polu tekstowym Wybierz , a następnie wybierając je z listy.

   

5. Kliknij pozycję Zapisz. Powinna zostać wyświetlona dodana grupa zabezpieczeń, jak pokazano poniżej.

   

6. Użytkownik/grupa zabezpieczeń ma teraz dostęp do konta Data Lake Storage Gen1. Jeśli chcesz zapewnić dostęp do określonych użytkowników, możesz dodać ich do grupy zabezpieczeń. Podobnie, jeśli chcesz odwołać dostęp dla użytkownika, możesz usunąć go z grupy zabezpieczeń. Do konta można również przypisać wiele grup zabezpieczeń.

Przypisywanie użytkowników lub grup zabezpieczeń jako list ACL do systemu plików Data Lake Storage Gen1

Przypisując grupy użytkowników/zabezpieczeń do systemu plików Data Lake Storage Gen1, należy ustawić kontrolę dostępu do danych przechowywanych w Data Lake Storage Gen1.

1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

   

2. W bloku Data Explorer kliknij folder, dla którego chcesz skonfigurować listę ACL, a następnie kliknij pozycję Dostęp. Aby przypisać listy ACL do pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

   

3. Blok Dostęp zawiera listę właścicieli i przypisanych uprawnień już przypisanych do katalogu głównego. Kliknij ikonę Dodaj , aby dodać dodatkowe listy ACL dostępu.

   Ważne

   Ustawienie uprawnień dostępu dla pojedynczego pliku nie musi udzielać użytkownikowi/grupie dostępu do tego pliku. Ścieżka do pliku musi być dostępna dla przypisanego użytkownika/grupy. Aby uzyskać więcej informacji i przykładów, zobacz Typowe scenariusze związane z uprawnieniami.

   

   • Właściciele i wszyscy inni zapewniają dostęp w stylu systemu UNIX, w którym określasz odczyt, zapis, wykonywanie (rwx) do trzech odrębnych klas użytkowników: właściciel, grupa i inne.

   • Przypisane uprawnienia odpowiadają listom ACL POSIX, które umożliwiają ustawianie uprawnień dla określonych nazwanych użytkowników lub grup poza właścicielem lub grupą pliku.

     Aby uzyskać więcej informacji, zobacz Listy ACL systemu plików HDFS. Aby uzyskać więcej informacji na temat sposobu implementacji list ACL w Data Lake Storage Gen1, zobacz Access Control w Data Lake Storage Gen1.

4. Kliknij ikonę Dodaj , aby otworzyć blok Przypisywanie uprawnień . W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj grupę zabezpieczeń utworzoną wcześniej w Tożsamość Microsoft Entra. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby odfiltrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij przycisk Wybierz.

   

5. Kliknij pozycję Wybierz uprawnienia, wybierz uprawnienia, niezależnie od tego, czy uprawnienia mają być stosowane cyklicznie, oraz czy chcesz przypisać uprawnienia jako listę ACL dostępu, domyślną listę ACL, czy oba te uprawnienia. Kliknij przycisk OK.

   

   Aby uzyskać więcej informacji na temat uprawnień w Data Lake Storage Gen1 i list ACL domyślnych/dostępu, zobacz Access Control w Data Lake Storage Gen1.

6. Po kliknięciu przycisku OK w bloku Wybierz uprawnienia nowo dodana grupa i skojarzone uprawnienia będą teraz wyświetlane w bloku Dostęp .

   

   Ważne

   W bieżącej wersji można mieć maksymalnie 28 wpisów w obszarze Przypisane uprawnienia. Jeśli chcesz dodać więcej niż 28 użytkowników, należy utworzyć grupy zabezpieczeń, dodać użytkowników do grup zabezpieczeń, dodać dostęp do tych grup zabezpieczeń dla konta Data Lake Storage Gen1.

7. W razie potrzeby możesz również zmodyfikować uprawnienia dostępu po dodaniu grupy. Wyczyść lub zaznacz pole wyboru dla każdego typu uprawnień (Odczyt, Zapis, Wykonywanie) na podstawie tego, czy chcesz usunąć lub przypisać to uprawnienie do grupy zabezpieczeń. Kliknij przycisk Zapisz , aby zapisać zmiany, lub Odrzuć , aby cofnąć zmiany.

Ustawianie zakresu adresów IP na potrzeby dostępu do danych

Data Lake Storage Gen1 umożliwia dalsze blokowanie dostępu do magazynu danych na poziomie sieci. Zaporę można włączyć, określić adres IP lub zdefiniować zakres adresów IP dla zaufanych klientów. Po włączeniu tej opcji tylko klienci, którzy mają adresy IP w zdefiniowanym zakresie, mogą łączyć się z magazynem.

Usuwanie grup zabezpieczeń dla konta Data Lake Storage Gen1

Usunięcie grup zabezpieczeń z kont Data Lake Storage Gen1 spowoduje zmianę dostępu tylko do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

Dostęp do danych jest niezmieniony i nadal jest zarządzany przez listy ACL dostępu. Wyjątkiem od tego są użytkownicy/grupy w roli Właściciele. Użytkownicy/grupy usunięte z roli Właściciele nie są już administratorami, a ich dostęp powraca do ustawień listy ACL.

1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami).

   

2. W bloku Access Control (Zarządzanie dostępem i tożsamościami) kliknij grupy zabezpieczeń, które chcesz usunąć. Kliknij przycisk Usuń.

   

Usuwanie list ACL grup zabezpieczeń z systemu plików Data Lake Storage Gen1

Po usunięciu list ACL grup zabezpieczeń z systemu plików Data Lake Storage Gen1 zmienisz dostęp do danych na koncie Data Lake Storage Gen1.

1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

   

2. W bloku Data Explorer kliknij folder, dla którego chcesz usunąć listę ACL, a następnie kliknij pozycję Dostęp. Aby usunąć listy ACL dla pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

   

3. W bloku Dostęp kliknij grupę zabezpieczeń, którą chcesz usunąć. W bloku Szczegóły dostępu kliknij pozycję Usuń.

   

Zobacz też

• Omówienie usługi Azure Data Lake Storage Gen1
• Kopiowanie danych z obiektów blob usługi Azure Storage do Data Lake Storage Gen1
• Korzystanie z usługi Azure Data Lake Analytics z Data Lake Storage Gen1
• Używanie usługi Azure HDInsight z usługą Data Lake Storage Gen1
• Rozpocznij pracę z usługą Data Lake Storage 1. generacji przy użyciu programu PowerShell
• Wprowadzenie do Data Lake Storage Gen1 przy użyciu zestawu SDK platformy .NET
• Uzyskiwanie dostępu do dzienników diagnostycznych dla Data Lake Storage Gen1