تأمين البيانات المخزنة في Azure Data Lake Storage Gen1

  • مقالة
  • قراءة خلال 7 دقائق

يعد تأمين البيانات في Azure Data Lake Storage Gen1 نهجا من ثلاث خطوات. يجب تعيين كل من التحكم في الوصول المستند إلى دور Azure (Azure RBAC) وقوائم التحكم في الوصول (ACLs) لتمكين الوصول إلى البيانات للمستخدمين ومجموعات الأمان بشكل كامل.

  1. ابدأ بإنشاء مجموعات أمان في Azure Active Directory (Azure AD). يتم استخدام مجموعات الأمان هذه لتنفيذ التحكم في الوصول المستند إلى دور Azure (Azure RBAC) في مدخل Azure. للحصول على مزيدٍ من المعلومات، راجع Azure RBAC .
  2. قم بتعيين مجموعات أمان Azure AD إلى حساب Data Lake Storage Gen1. يتحكم هذا في الوصول إلى حساب Data Lake Storage Gen1 من البوابة الإلكترونية وعمليات الإدارة من البوابة الإلكترونية أو واجهات برمجة التطبيقات.
  3. قم بتعيين مجموعات أمان Azure AD كقوائم التحكم في الوصول (ACLs) على نظام الملفات Data Lake Storage Gen1.
  4. بالإضافة إلى ذلك، يمكنك أيضا تعيين نطاق عنوان IP للعملاء الذين يمكنهم الوصول إلى البيانات في Data Lake Storage Gen1.

توفر هذه المقالة إرشادات حول كيفية استخدام مدخل Azure لتنفيذ المهام المذكورة أعلاه. للحصول على معلومات متعمقة حول كيفية تنفيذ Data Lake Storage Gen1 للأمان على مستوى الحساب والبيانات، راجع الأمان في Azure Data Lake Storage Gen1. للحصول على معلومات متعمقة حول كيفية تنفيذ قوائم التحكم في الوصول في Data Lake Storage Gen1، راجع نظرة عامة على التحكم في الوصول في Data Lake Storage Gen1.

المتطلبات الأساسية

قبل البدء في هذا البرنامج التعليمي، يجب أن يكون لديك ما يلي:

إنشاء مجموعات أمان في Azure Active Directory

للحصول على إرشادات حول كيفية إنشاء مجموعات أمان Azure AD وكيفية إضافة مستخدمين إلى المجموعة، راجع إدارة مجموعات الأمان في Azure Active Directory.

ملاحظة

يمكنك إضافة كل من المستخدمين والمجموعات الأخرى إلى مجموعة في Azure AD باستخدام مدخل Azure. ومع ذلك، لإضافة عنصر أساسي لخدمة إلى مجموعة، استخدم وحدة PowerShell النمطية الخاصة ب Azure AD.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

تعيين مستخدمين أو مجموعات أمان لحسابات Data Lake Storage Gen1

عند تعيين مستخدمين أو مجموعات أمان لحسابات Data Lake Storage Gen1، فإنك تتحكم في الوصول إلى عمليات الإدارة على الحساب باستخدام مدخل Azure وواجهات برمجة تطبيقات Azure Resource Manager.

  1. افتح حساب Data Lake Storage Gen1. من الجزء الأيمن، انقر فوق كافة الموارد، ثم من شفرة كافة الموارد، انقر فوق اسم الحساب الذي تريد تعيين مستخدم أو مجموعة أمان إليه.

  2. في شفرة حساب Data Lake Storage Gen1، انقر فوق التحكم في الوصول (IAM). تسرد الشفرة افتراضيا مالكي الاشتراك كمالك.

    Assign security group to Azure Data Lake Storage Gen1 account

  3. في الشفرة للتحكم في الوصول (IAM)، انقر فوق إضافة لفتح الشفرة النصلية إضافة أذونات. في شفرة إضافة أذونات ، حدد دورا للمستخدم/المجموعة. ابحث عن مجموعة الأمان التي أنشأتها سابقا في Azure Active Directory وحددها. إذا كان لديك الكثير من المستخدمين والمجموعات للبحث منها، فاستخدم مربع النص تحديد للتصفية على اسم المجموعة.

    Add a role for the user

    يوفر دور المالكوالمساهم إمكانية الوصول إلى مجموعة متنوعة من وظائف الإدارة على حساب مستودع البيانات. بالنسبة للمستخدمين الذين سيتفاعلون مع البيانات الموجودة في مستودع البيانات ولكنهم ما زالوا بحاجة إلى عرض معلومات إدارة الحساب، يمكنك إضافتها إلى دور القارئ . يقتصر نطاق هذه الأدوار على عمليات الإدارة المتعلقة بحساب Data Lake Storage Gen1.

    بالنسبة لعمليات البيانات، تحدد أذونات نظام الملفات الفردية ما يمكن للمستخدمين القيام به. لذلك، يمكن للمستخدم الذي لديه دور Reader عرض الإعدادات الإدارية المقترنة بالحساب فقط ولكن من المحتمل أن يقرأ البيانات ويكتبها استنادا إلى أذونات نظام الملفات المعينة له. يتم وصف أذونات نظام الملفات Data Lake Storage Gen1 في تعيين مجموعة الأمان كقوائم تحكم بالوصول إلى نظام ملفات Azure Data Lake Storage Gen1.

    هام

    فقط دور المالك يمكن تلقائيا الوصول إلى نظام الملفات. يتطلب المساهموالقارئ وجميع الأدوار الأخرى قوائم التحكم بالوصول لتمكين أي مستوى من الوصول إلى المجلدات والملفات. يوفر دور المالك أذونات ملفات ومجلدات المستخدم المتميز التي لا يمكن تجاوزها عبر قوائم التحكم في الوصول. لمزيد من المعلومات حول كيفية تعيين نهج Azure RBAC للوصول إلى البيانات، راجع Azure RBAC لإدارة الحساب.

  4. إذا كنت تريد إضافة مجموعة/مستخدم غير مدرج في شفرة إضافة أذونات، فيمكنك دعوته عن طريق كتابة عنوان بريده الإلكتروني في مربع النص تحديد ثم تحديده من القائمة.

    Add a security group

  5. انقر فوق Save. من المفترض أن ترى مجموعة الأمان المضافة كما هو موضح أدناه.

    Security group added

  6. يمكن الآن للمستخدم/مجموعة الأمان الخاصة بك الوصول إلى حساب Data Lake Storage Gen1. إذا كنت تريد توفير حق الوصول إلى مستخدمين محددين، يمكنك إضافتهم إلى مجموعة الأمان. وبالمثل، إذا كنت تريد إبطال حق الوصول لأحد المستخدمين، فيمكنك إزالته من مجموعة الأمان. يمكنك أيضا تعيين مجموعات أمان متعددة إلى حساب.

تعيين مستخدمين أو مجموعات أمان كقوائم تحكم بالوصول إلى نظام الملفات Data Lake Storage Gen1

من خلال تعيين مجموعات المستخدمين/الأمان إلى نظام الملفات Data Lake Storage Gen1، يمكنك تعيين التحكم في الوصول على البيانات المخزنة في Data Lake Storage Gen1.

  1. في شفرة حساب Data Lake Storage Gen1، انقر فوق مستكشف البيانات.

    View data via Data Explorer

  2. في شفرة مستكشف البيانات ، انقر فوق المجلد الذي تريد تكوين ACL له، ثم انقر فوق Access. لتعيين قوائم التحكم بالوصول إلى ملف، يجب أولا النقر فوق الملف لمعاينته ثم النقر فوق Access من الشفرة "معاينة الملف ".

    Set ACLs on Data Lake Storage Gen1 file system

  3. تسرد شفرة Access المالكين والأذونات المعينة بالفعل للجذر. انقر فوق الرمز إضافة لإضافة قوائم تحكم بالوصول إضافية.

    هام

    لا يؤدي تعيين أذونات الوصول لملف واحد بالضرورة إلى منح مستخدم/مجموعة حق الوصول إلى هذا الملف. يجب أن يكون المسار إلى الملف قابلا للوصول إلى المستخدم/المجموعة المعينة. لمزيد من المعلومات والأمثلة، راجع السيناريوهات الشائعة المتعلقة بالأذونات.

    List standard and custom access

    • يوفر المالكونوالجميع الآخرون وصولا على غرار UNIX، حيث يمكنك تحديد القراءة والكتابة والتنفيذ (rwx) لثلاث فئات مستخدم متميزة: المالك والمجموعة وغيرها.

    • تتوافق الأذونات المعينة مع قوائم التحكم في الوصول POSIX التي تمكنك من تعيين أذونات لمستخدمين أو مجموعات معينة مسماة خارج مالك الملف أو مجموعته.

      لمزيد من المعلومات، راجع قوائم التحكم في الوصول HDFS. لمزيد من المعلومات حول كيفية تنفيذ قوائم التحكم في الوصول في Data Lake Storage Gen1، راجع التحكم في الوصول في Data Lake Storage Gen1.

  4. انقر فوق الرمز إضافة لفتح شفرة تعيين الأذونات . في هذه الشفرة النصلية، انقر فوق تحديد مستخدم أو مجموعة، ثم في تحديد شفرة المستخدم أو المجموعة ، ابحث عن مجموعة الأمان التي أنشأتها مسبقا في Azure Active Directory. إذا كان لديك الكثير من المجموعات للبحث منها، فاستخدم مربع النص في الجزء العلوي للتصفية على اسم المجموعة. انقر فوق المجموعة التي تريد إضافتها، ثم انقر فوق تحديد.

    Add a group

  5. انقر فوق تحديد الأذونات، وحدد الأذونات، وما إذا كان يجب تطبيق الأذونات بشكل متكرر، وما إذا كنت تريد تعيين الأذونات كقائمة وصول أمامية أو قائمة تحكم تلقائية افتراضية أو كليهما. انقر فوق موافق.

    Screenshot of the Assign permissions blade with the Select permissions option called out and the Select permissions blade with the Ok option called out.

    لمزيد من المعلومات حول الأذونات في Data Lake Storage Gen1 وقوائم التحكم في الوصول الافتراضية/الوصول، راجع التحكم في الوصول في Data Lake Storage Gen1.

  6. بعد النقر فوق موافق في شفرة تحديد الأذونات ، سيتم الآن إدراج المجموعة المضافة حديثا والأذونات المرتبطة بها في شفرة الوصول .

    Screenshot of the Access blade with the Data Engineering option called out.

    هام

    في الإصدار الحالي، يمكنك الحصول على ما يصل إلى 28 إدخالا ضمن الأذونات المعينة. إذا كنت ترغب في إضافة أكثر من 28 مستخدما، فيجب عليك إنشاء مجموعات أمان، وإضافة مستخدمين إلى مجموعات الأمان، وإضافة توفير الوصول إلى مجموعات الأمان هذه لحساب Data Lake Storage Gen1.

  7. إذا لزم الأمر، يمكنك أيضا تعديل أذونات الوصول بعد إضافة المجموعة. قم بإلغاء تحديد خانة الاختيار الخاصة بكل نوع من أنواع الأذونات (قراءة، كتابة، تنفيذ) أو تحديدها استنادا إلى ما إذا كنت تريد إزالة هذا الإذن أو تعيينه لمجموعة الأمان أم لا. انقر فوق حفظ لحفظ التغييرات، أو تجاهل للتراجع عن التغييرات.

تعيين نطاق عنوان IP للوصول إلى البيانات

يمكنك Data Lake Storage Gen1 من تأمين الوصول إلى مخزن البيانات الخاص بك على مستوى الشبكة. يمكنك تمكين جدار الحماية أو تحديد عنوان IP أو تحديد نطاق عنوان IP لعملائك الموثوق بهم. بمجرد التمكين، يمكن فقط للعملاء الذين لديهم عناوين IP ضمن نطاق محدد الاتصال بالمتجر.

Firewall settings and IP access

إزالة مجموعات الأمان لحساب Data Lake Storage Gen1

عند إزالة مجموعات الأمان من حسابات Data Lake Storage Gen1، فأنت تقوم فقط بتغيير الوصول إلى عمليات الإدارة على الحساب باستخدام مدخل Azure وواجهات برمجة تطبيقات Azure Resource Manager.

لم يتغير الوصول إلى البيانات ولا يزال تتم إدارته بواسطة قوائم التحكم في الوصول (ACLs). الاستثناء من ذلك هو المستخدمون/المجموعات في دور الملاك. لم يعد المستخدمون/المجموعات التي تمت إزالتها من دور المالكين مستخدمين متميزين ويعود وصولهم إلى إعدادات الوصول إلى قائمة التحكم في الوصول.

  1. في شفرة حساب Data Lake Storage Gen1، انقر فوق التحكم في الوصول (IAM).

    Assign security group to Data Lake Storage Gen1 account

  2. في الشفرة النصلية للتحكم في الوصول (IAM)، انقر فوق مجموعة (مجموعات) الأمان التي تريد إزالتها. انقر فوق ⁧Remove⁩⁧⁩.

    Security group removed

إزالة قوائم التحكم بالوصول لمجموعة الأمان من نظام ملفات Data Lake Storage Gen1

عند إزالة قوائم التحكم بالوصول لمجموعة الأمان من نظام ملفات Data Lake Storage Gen1، يمكنك تغيير الوصول إلى البيانات الموجودة في الحساب Data Lake Storage Gen1.

  1. في شفرة حساب Data Lake Storage Gen1، انقر فوق مستكشف البيانات.

    Create directories in Data Lake Storage Gen1 account

  2. في الشفرة "مستكشف البيانات" ، انقر فوق المجلد الذي تريد إزالة ACL ثم انقر فوق Access. لإزالة قوائم التحكم بالوصول لملف، يجب أولا النقر فوق الملف لمعاينته ثم النقر فوق Access من الشفرة " معاينة الملف ".

    Set ACLs on Data Lake Storage Gen1 file system

  3. في شفرة Access ، انقر فوق مجموعة الأمان التي تريد إزالتها. في شفرة تفاصيل الوصول ، انقر فوق إزالة.

    Screenshot of the Access blade with the Data Engineering option called out and the Access details blade with the Remove option called out.

راجع أيضًا