Az Azure Data Lake Storage Gen1-ben tárolt adatok védelme

Az adatok védelme Azure Data Lake Storage Gen1-ben három lépésből áll. Az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) és a hozzáférés-vezérlési listákat (ACL-eket) úgy kell beállítani, hogy teljes mértékben engedélyezhessék az adatokhoz való hozzáférést a felhasználók és a biztonsági csoportok számára.

1. Először hozzon létre biztonsági csoportokat Microsoft Entra ID. Ezek a biztonsági csoportok az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) implementálására szolgálnak a Azure Portal.
2. Rendelje hozzá a Microsoft Entra biztonsági csoportokat a Data Lake Storage Gen1 fiókhoz. Ez szabályozza az Data Lake Storage Gen1-fiókhoz való hozzáférést a portálról, valamint a felügyeleti műveleteket a portálról vagy API-kból.
3. Rendelje hozzá a Microsoft Entra biztonsági csoportokat hozzáférés-vezérlési listákként (ACL-ek) a Data Lake Storage Gen1 fájlrendszerhez.
4. Emellett beállíthat egy IP-címtartományt is azoknak az ügyfeleknek, amelyek hozzáférhetnek az adatokhoz Data Lake Storage Gen1.

Ez a cikk bemutatja, hogyan végezheti el a fenti feladatokat a Azure Portal használatával. Az Data Lake Storage Gen1 fiók- és adatszintű biztonsági implementálásával kapcsolatos részletes információkért lásd: Biztonság Azure Data Lake Storage Gen1-ben. Az ACL-ek Data Lake Storage Gen1-ben való implementálásával kapcsolatos részletes információkért lásd: A Access Control áttekintése Data Lake Storage Gen1.

Előfeltételek

Az oktatóanyag elkezdéséhez az alábbiakkal kell rendelkeznie:

• Egy Azure-előfizetés. Lásd: Ingyenes Azure-fiók létrehozása.
• Egy Data Lake Storage Gen1 fiók. A létrehozással kapcsolatos utasításokért lásd: Első lépések az 1. generációs Azure Data Lake Storage

Biztonsági csoportok létrehozása Microsoft Entra ID

A Microsoft Entra biztonsági csoportok létrehozásával és a felhasználók csoporthoz való hozzáadásával kapcsolatos utasításokért lásd: Biztonsági csoportok kezelése Microsoft Entra ID.

Megjegyzés

A Azure Portal használatával felhasználókat és más csoportokat is hozzáadhat egy csoporthoz Microsoft Entra ID. Ha azonban szolgáltatásnevet szeretne hozzáadni egy csoporthoz, használja Microsoft Entra ID PowerShell-modulját.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Felhasználók vagy biztonsági csoportok hozzárendelése Data Lake Storage Gen1 fiókokhoz

Amikor felhasználókat vagy biztonsági csoportokat rendel hozzá Data Lake Storage Gen1 fiókokhoz, a fiók felügyeleti műveleteihez való hozzáférést a Azure Portal és az Azure Resource Manager API-kkal szabályozhatja.

1. Nyisson meg egy Data Lake Storage Gen1 fiókot. A bal oldali panelen kattintson a Minden erőforrás elemre, majd a Minden erőforrás panelen kattintson arra a fióknévre, amelyhez felhasználót vagy biztonsági csoportot szeretne hozzárendelni.

2. A Data Lake Storage Gen1 fiók paneljén kattintson a Access Control (IAM) elemre. A panel alapértelmezés szerint az előfizetés-tulajdonosokat sorolja fel tulajdonosként.

   

3. Az Access Control (IAM) panelen kattintson a Hozzáadás gombra az Engedélyek hozzáadása panel megnyitásához. Az Engedélyek hozzáadása panelen válassza ki a felhasználó/csoport szerepkörét . Keresse meg Microsoft Entra ID korábban létrehozott biztonsági csoportot, és jelölje ki. Ha sok felhasználót és csoportot szeretne keresni, a Kijelölés szövegmezővel szűrhet a csoport nevére.

   

   A Tulajdonos és a Közreműködő szerepkör számos felügyeleti funkcióhoz biztosít hozzáférést a Data Lake-fiókban. Azoknak a felhasználóknak, akik a data lake-ben lévő adatokkal fognak kommunikálni, de továbbra is meg kell tekinteniük a fiókkezelési információkat, felveheti őket az Olvasó szerepkörbe. Ezeknek a szerepköröknek a hatóköre a Data Lake Storage Gen1 fiókhoz kapcsolódó felügyeleti műveletekre korlátozódik.

   Az adatműveletek esetében az egyes fájlrendszerengedélyek határozzák meg, hogy mit tehetnek a felhasználók. Ezért az Olvasó szerepkörrel rendelkező felhasználók csak a fiókhoz társított felügyeleti beállításokat tekinthetik meg, de a hozzájuk rendelt fájlrendszer-engedélyek alapján olvasási és írási adatokat is írhatnak. Data Lake Storage Gen1 fájlrendszer-engedélyeket a Biztonsági csoport hozzárendelése ACL-ként az Azure Data Lake Storage Gen1 fájlrendszerhez című cikkben ismertetjük.

   Fontos

   Csak a Tulajdonos szerepkör engedélyezi automatikusan a fájlrendszerhez való hozzáférést. A Közreműködő, az Olvasó és az összes többi szerepkör esetében ACL-ek szükségesek a mappákhoz és fájlokhoz való hozzáférés bármely szintjének engedélyezéséhez. A Tulajdonos szerepkör olyan felügyelői fájl- és mappaengedélyeket biztosít, amelyek ACL-eken keresztül nem bírálhatók felül. További információ arról, hogy az Azure RBAC-szabályzatok hogyan képeznek le adathozzáférést, lásd: Azure RBAC fiókkezeléshez.

4. Ha olyan csoportot/felhasználót szeretne hozzáadni, amely nem szerepel az Engedélyek hozzáadása panelen, meghívhatja őket, ha beírja az e-mail-címét a Kiválasztás szövegmezőbe, majd kijelöli őket a listából.

   

5. Kattintson a Mentés gombra. A biztonsági csoportnak az alább látható módon kell megjelennie.

   

6. A felhasználó/biztonsági csoport most már hozzáfér a Data Lake Storage Gen1 fiókhoz. Ha adott felhasználóknak szeretne hozzáférést biztosítani, hozzáadhatja őket a biztonsági csoporthoz. Hasonlóképpen, ha vissza szeretné vonni egy felhasználó hozzáférését, eltávolíthatja őket a biztonsági csoportból. Egy fiókhoz több biztonsági csoportot is hozzárendelhet.

Felhasználók vagy biztonsági csoportok hozzárendelése ACL-ként a Data Lake Storage Gen1 fájlrendszerhez

Ha felhasználói/biztonsági csoportokat rendel a Data Lake Storage Gen1 fájlrendszerhez, a hozzáférés-vezérlést a Data Lake Storage Gen1 tárolt adatokon állíthatja be.

1. A Data Lake Storage Gen1-fiók panelen kattintson a Data Explorer elemre.

   

2. A Data Explorer panelen kattintson arra a mappára, amelyhez konfigurálni szeretné az ACL-t, majd kattintson az Access elemre. Ha ACL-eket szeretne hozzárendelni egy fájlhoz, először a fájlra kell kattintania az előnézet megtekintéséhez, majd a Fájl előnézete panelen kattintson az Access elemre.

   

3. Az Access panelen láthatók a gyökérhez már hozzárendelt tulajdonosok és hozzárendelt engedélyek. Kattintson a Hozzáadás ikonra további Hozzáférési ACL-ek hozzáadásához.

   Fontos

   Ha egy fájlhoz hozzáférési engedélyeket állít be, az nem feltétlenül ad hozzáférést a felhasználónak/csoportnak a fájlhoz. A fájl elérési útjának elérhetőnek kell lennie a hozzárendelt felhasználó/csoport számára. További információkért és példákért lásd az engedélyekkel kapcsolatos gyakori forgatókönyveket.

   

   • A Tulajdonosok és a Mindenki más UNIX-stílusú hozzáférést biztosít, ahol megadhatja az olvasást, az írást, a végrehajtást (rwx) három különböző felhasználói osztályba: tulajdonos, csoport és mások.

   • A hozzárendelt engedélyek megfelelnek a POSIX ACL-eknek, amelyek lehetővé teszik, hogy engedélyeket állítson be a fájl tulajdonosán vagy csoportján kívüli, megnevezett felhasználókhoz vagy csoportokhoz.

     További információ: HDFS ACL-ek. Az ACL-ek Data Lake Storage Gen1 való implementálásáról további információt a Data Lake Storage Gen1 Access Control című témakörben talál.

4. Kattintson a Hozzáadás ikonra az Engedélyek hozzárendelése panel megnyitásához. Ezen a panelen kattintson a Felhasználó vagy csoport kiválasztása elemre, majd a Felhasználó vagy csoport kiválasztása panelen keresse meg a Microsoft Entra ID korábban létrehozott biztonsági csoportot. Ha sok csoportból szeretne keresni, a felső szövegmezővel szűrhet a csoport nevére. Kattintson a hozzáadni kívánt csoportra, majd a Kiválasztás gombra.

   

5. Kattintson az Engedélyek kiválasztása elemre, válassza ki az engedélyeket, hogy az engedélyeket rekurzív módon kell-e alkalmazni, és hogy hozzáférési ACL-ként, alapértelmezett ACL-ként vagy mindkettőként szeretné-e hozzárendelni az engedélyeket. Kattintson az OK gombra.

   

   A Data Lake Storage Gen1 engedélyeiről és az alapértelmezett/hozzáférési ACL-ekről a Data Lake Storage Gen1 Access Control című témakörben talál további információt.

6. Miután az Engedélyek kiválasztása panelen az OK gombra kattintott, az újonnan hozzáadott csoport és a hozzá tartozó engedélyek megjelennek az Access panelen.

   

   Fontos

   Az aktuális kiadásban legfeljebb 28 bejegyzése lehet a Hozzárendelt engedélyek területen. Ha 28-nál több felhasználót szeretne hozzáadni, hozzon létre biztonsági csoportokat, adjon hozzá felhasználókat a biztonsági csoportokhoz, és adjon hozzáférést ezekhez a biztonsági csoportokhoz a Data Lake Storage Gen1 fiókhoz.

7. Szükség esetén a csoport hozzáadása után is módosíthatja a hozzáférési engedélyeket. Törölje vagy jelölje be az egyes engedélytípusok (Olvasás, Írás, Végrehajtás) jelölőnégyzetét attól függően, hogy el szeretné-e távolítani vagy hozzárendelni az engedélyt a biztonsági csoporthoz. Kattintson a Mentés gombra a módosítások mentéséhez, vagy az Elvetés gombra a módosítások visszavonásához.

IP-címtartomány beállítása adathozzáféréshez

Data Lake Storage Gen1 lehetővé teszi az adattárhoz való hozzáférés további zárolását hálózati szinten. Engedélyezheti a tűzfalat, megadhat egy IP-címet, vagy megadhat egy IP-címtartományt a megbízható ügyfelek számára. Ha engedélyezve van, csak azok az ügyfelek csatlakozhatnak az áruházhoz, amelyek ip-címe a megadott tartományon belül van.

Data Lake Storage Gen1-fiók biztonsági csoportjainak eltávolítása

Amikor biztonsági csoportokat távolít el Data Lake Storage Gen1 fiókokból, csak a fiók felügyeleti műveleteihez való hozzáférést módosítja a Azure Portal és az Azure Resource Manager API-k használatával.

Az adatokhoz való hozzáférés változatlan, és továbbra is a hozzáférési ACL-ek kezelik. Ez alól kivételt képeznek a Tulajdonosok szerepkörben lévő felhasználók/csoportok. A Tulajdonosok szerepkörből eltávolított felhasználók/csoportok már nem felügyelők, és hozzáférésük visszaesik az ACL-beállításokhoz való hozzáféréshez.

1. A Data Lake Storage Gen1 fiók paneljén kattintson a Access Control (IAM) elemre.

   

2. A Access Control (IAM) panelen kattintson az eltávolítani kívánt biztonsági csoport(ok)ra. Kattintson az Eltávolítás elemre.

   

Biztonsági csoport ACL-jeinek eltávolítása Data Lake Storage Gen1 fájlrendszerből

Amikor eltávolítja a biztonsági csoport ACL-eit egy Data Lake Storage Gen1 fájlrendszerből, a Data Lake Storage Gen1-fiókban lévő adatokhoz való hozzáférést módosítja.

1. A Data Lake Storage Gen1-fiók panelen kattintson a Data Explorer elemre.

   

2. A Data Explorer panelen kattintson arra a mappára, amelynek el szeretné távolítani az ACL-t, majd kattintson az Access elemre. Egy fájl ACL-jeinek eltávolításához először a fájlra kell kattintania a fájl előnézetének megtekintéséhez, majd a Fájl előnézete panelen kattintson az Access elemre.

   

3. Az Access panelen kattintson az eltávolítani kívánt biztonsági csoportra. Az Access részletei panelen kattintson az Eltávolítás gombra.

   

Lásd még

• Az 1. generációs Azure Data Lake Storage áttekintése
• Adatok másolása Azure Storage-blobokból a Data Lake Storage Gen1
• Az Azure Data Lake Analytics használata Data Lake Storage Gen1
• Az Azure HDInsight használata Data Lake Storage Gen1
• Az 1. generációs Data Lake Storage használatának első lépései a PowerShell-lel
• A .NET SDK-val végzett Data Lake Storage Gen1 használatának első lépései
• A Data Lake Storage Gen1 diagnosztikai naplóinak elérése