Controllo di accesso in Azure Data Lake StoreAccess control in Azure Data Lake Store

Azure Data Lake Store implementa un modello di controllo di accesso derivante da HDFS, che a sua volta deriva dal modello di controllo di accesso POSIX.Azure Data Lake Store implements an access control model that derives from HDFS, which in turn derives from the POSIX access control model. Questo articolo offre un riepilogo delle nozioni di base del modello di controllo di accesso per Data Lake Store.This article summarizes the basics of the access control model for Data Lake Store. Per altre informazioni sul modello di controllo di accesso HDFS, vedere HDFS Permissions Guide(Guida alle autorizzazioni HDFS).To learn more about the HDFS access control model, see HDFS Permissions Guide.

Elenchi di controllo di accesso per file e cartelleAccess control lists on files and folders

Esistono due tipologie di elenchi di controllo di accesso (ACL): ACL di accesso e ACL predefiniti.There are two kinds of access control lists (ACLs), Access ACLs and Default ACLs.

  • ACL di accesso: questi elenchi controllano l'accesso a un oggetto.Access ACLs: These control access to an object. Sia i file che le cartelle hanno ACL di accesso.Files and folders both have Access ACLs.

  • ACL predefiniti: "modello" di ACL associato a una cartella che determina gli ACL di accesso per tutti gli elementi figlio creati in tale cartella.Default ACLs: A "template" of ACLs associated with a folder that determine the Access ACLs for any child items that are created under that folder. I file non hanno ACL predefiniti.Files do not have Default ACLs.

ACL in Data Lake Store

Sia gli ACL di accesso che gli ACL predefiniti presentano la stessa struttura.Both Access ACLs and Default ACLs have the same structure.

ACL in Data Lake Store

Nota

La modifica dell'ACL predefinito per un elemento padre non influisce sull'ACL di accesso o sull'ACL predefinito degli elementi figlio già esistenti.Changing the Default ACL on a parent does not affect the Access ACL or Default ACL of child items that already exist.

Utenti e identitàUsers and identities

Ogni file e cartella ha autorizzazioni distinte per le entità seguenti:Every file and folder has distinct permissions for these identities:

  • Utente proprietario del fileThe owning user of the file
  • Gruppo proprietarioThe owning group
  • Utenti non anonimiNamed users
  • Gruppi con nomeNamed groups
  • Tutti gli altri utentiAll other users

Le identità di utenti e gruppi sono identità di Azure Active Directory (Azure AD).The identities of users and groups are Azure Active Directory (Azure AD) identities. Se non viene specificato diversamente, quindi, nel contesto di Data Lake Store un "utente" può essere un utente di AD Azure o un gruppo di sicurezza di Azure AD.So unless otherwise noted, a "user," in the context of Data Lake Store, can either mean an Azure AD user or an Azure AD security group.

AutorizzazioniPermissions

Le autorizzazioni per un oggetto del file system sono Lettura, Scrittura ed Esecuzione e possono essere usate per file e cartelle come illustrato nella tabella seguente:The permissions on a filesystem object are Read, Write, and Execute, and they can be used on files and folders as shown in the following table:

FileFile CartellaFolder
Lettura (R)Read (R) È possibile leggere il contenuto di un fileCan read the contents of a file Per elencare il contenuto della cartella sono necessarie le autorizzazioni di Lettura ed EsecuzioneRequires Read and Execute to list the contents of the folder
Scrittura (W)Write (W) È possibile scrivere o aggiungere in un fileCan write or append to a file Per creare elementi figlio in una cartella sono necessarie le autorizzazioni di Scrittura ed Esecuzione.Requires Write and Execute to create child items in a folder
Esecuzione (X)Execute (X) Nessun valore nel contesto di Data Lake StoreDoes not mean anything in the context of Data Lake Store È necessaria per attraversare gli elementi figlio di una cartellaRequired to traverse the child items of a folder

Forme brevi per le autorizzazioniShort forms for permissions

La forma RWX viene usata per indicare Lettura + Scrittura + Esecuzione.RWX is used to indicate Read + Write + Execute. Esiste una forma numerica ridotta in cui Lettura=4, Scrittura=2 ed Esecuzione=1 e la cui somma rappresenta le autorizzazioni.A more condensed numeric form exists in which Read=4, Write=2, and Execute=1, the sum of which represents the permissions. Di seguito sono riportati alcuni esempi.Following are some examples.

Forma numericaNumeric form Forma breveShort form SignificatoWhat it means
77 RWXRWX Lettura + Scrittura + EsecuzioneRead + Write + Execute
55 R-XR-X Lettura + EsecuzioneRead + Execute
44 R--R-- LetturaRead
00 --- Nessuna autorizzazioneNo permissions

Non ereditarietà delle autorizzazioniPermissions do not inherit

Nel modello di tipo POSIX usato da Data Lake Store, le autorizzazioni per un elemento vengono archiviate nell'elemento stesso.In the POSIX-style model that's used by Data Lake Store, permissions for an item are stored on the item itself. In altri termini, le autorizzazioni per un elemento non sono ereditabili dagli elementi padre.In other words, permissions for an item cannot be inherited from the parent items.

Di seguito sono riportati alcuni scenari comuni che consentono di comprendere quali autorizzazioni sono necessarie per eseguire determinate operazioni su un account Data Lake Store.Following are some common scenarios to help you understand which permissions are needed to perform certain operations on a Data Lake Store account.

Autorizzazioni necessarie per la lettura di un filePermissions needed to read a file

ACL in Data Lake Store

  • Per il file da leggere, il chiamante deve avere autorizzazioni di Lettura.For the file to be read, the caller needs Read permissions.
  • Per tutte le cartelle della struttura di cartelle contenenti il file, il chiamante deve avere autorizzazioni di Esecuzione.For all the folders in the folder structure that contain the file, the caller needs Execute permissions.

Autorizzazioni necessarie per l'aggiunta a un filePermissions needed to append to a file

ACL in Data Lake Store

  • Per il file a cui si intende eseguire l'aggiunta, il chiamante deve avere autorizzazioni di Scrittura.For the file to be appended to, the caller needs Write permissions.
  • Per tutte le cartelle contenenti il file, il chiamante deve avere autorizzazioni di Esecuzione.For all the folders that contain the file, the caller needs Execute permissions.

Autorizzazioni necessarie per l'eliminazione di un filePermissions needed to delete a file

ACL in Data Lake Store

  • Per la cartella padre, il chiamante deve avere autorizzazioni di Scrittura + Esecuzione.For the parent folder, the caller needs Write + Execute permissions.
  • Per tutte le altre cartelle nel percorso del file, il chiamante deve avere autorizzazioni di Esecuzione.For all the other folders in the file’s path, the caller needs Execute permissions.

Nota

Se vengono soddisfatte le due condizioni precedenti, non sono necessarie autorizzazioni di scrittura per il file per eliminarlo.Write permissions on the file are not required to delete it as long as the previous two conditions are true.

Autorizzazioni necessarie per l'enumerazione di una cartellaPermissions needed to enumerate a folder

ACL in Data Lake Store

  • Per la cartella di cui si intende eseguire l'enumerazione, il chiamante deve avere autorizzazioni di Lettura + Esecuzione.For the folder to enumerate, the caller needs Read + Execute permissions.
  • Per tutte le cartelle predecessore, il chiamante deve avere autorizzazioni di Esecuzione.For all the ancestor folders, the caller needs Execute permissions.

Visualizzazione delle autorizzazioni nel portale di AzureViewing permissions in the Azure portal

Nel pannello Esplora dati dell'account Data Lake Store fare clic su Accesso per visualizzare gli ACL per un file o una cartella.From the Data Explorer blade of the Data Lake Store account, click Access to see the ACLs for a file or a folder. Fare clic su Accesso per visualizzare gli ACL per la cartella catalog dell'account mydatastore.Click Access to see the ACLs for the catalog folder under the mydatastore account.

ACL in Data Lake Store

La sezione superiore di questo pannello mostra una panoramica delle autorizzazioni dell'utente,On this blade, the top section shows an overview of the permissions that you have. che nello screenshot seguente si chiama Bob. A seguire vengono mostrate le autorizzazioni di accesso.(In the screenshot, the user is Bob.) Following that, the access permissions are shown. Successivamente, nel pannello Accesso fare clic su Visualizzazione semplice per passare alla visualizzazione semplificata.After that, from the Access blade, click Simple View to see the simpler view.

ACL in Data Lake Store

Fare clic su Vista avanzata per visualizzare la vista più avanzata, che mostra i concetti relativi ad ACL predefiniti, maschera e utente con privilegi avanzati.Click Advanced View to see the more advanced view, where the concepts of Default ACLs, mask, and super-user are shown.

ACL in Data Lake Store

Utente con privilegi avanzatiThe super-user

Un utente con privilegi avanzati ha diritti superiori rispetto a qualsiasi altro utente di Data Lake Store.A super-user has the most rights of all the users in the Data Lake Store. Un utente con privilegi avanzati:A super-user:

  • Ha autorizzazioni RWX per tutti i file e le cartelle.Has RWX Permissions to all files and folders.
  • Può modificare le autorizzazioni per qualsiasi file o cartella.Can change the permissions on any file or folder.
  • Può modificare l'utente o il gruppo proprietario di qualsiasi file o cartella.Can change the owning user or owning group of any file or folder.

In Azure un account Data Lake Store include diversi ruoli di Azure, tra cui:In Azure, a Data Lake Store account has several Azure roles, including:

  • ProprietariOwners
  • CollaboratoriContributors
  • LettoriReaders

Tutti i membri del ruolo Proprietari per un account Data Lake Store sono automaticamente superuser per tale account.Everyone in the Owners role for a Data Lake Store account is automatically a super-user for that account. Per altre informazioni, vedere l'articolo relativo al controllo degli accessi in base al ruolo.To learn more, see Role-based access control. Se si vuole creare un ruolo Controllo degli accessi in base al ruolo personalizzato con autorizzazioni di utente avanzato, è necessario avere le autorizzazioni seguenti:If you want to create a custom role-based-access control (RBAC) role that has super-user permissions, it needs to have the following permissions:

  • Microsoft.DataLakeStore/accounts/Superuser/actionMicrosoft.DataLakeStore/accounts/Superuser/action
  • Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/write

Utente proprietarioThe owning user

L'utente che ha creato l'elemento ne è automaticamente l'utente proprietario.The user who created the item is automatically the owning user of the item. Un utente proprietario può:An owning user can:

  • Modificare le autorizzazioni di un file di sua proprietà.Change the permissions of a file that is owned.
  • Modificare il gruppo proprietario di un file di sua proprietà, a condizione che l'utente proprietario sia anche membro del gruppo di destinazione.Change the owning group of a file that is owned, as long as the owning user is also a member of the target group.

Nota

L'utente proprietario non può modificare l'utente proprietario di un altro file.The owning user cannot change the owning user of another owned file. Solo i superuser possono modificare l'utente proprietario di un file o una cartella.Only super-users can change the owning user of a file or folder.

Gruppo proprietarioThe owning group

Negli ACL POSIX ogni utente è associato a un "gruppo primario".In the POSIX ACLs, every user is associated with a "primary group." L'utente "alice", ad esempio, può appartenere al gruppo "finanza".For example, user "alice" might belong to the "finance" group. Alice può anche appartenere a più gruppi, ma uno solo è sempre designato come il suo gruppo primario.Alice might also belong to multiple groups, but one group is always designated as her primary group. Quando Alice crea un file in POSIX, come gruppo proprietario del file viene impostato il gruppo primario di Alice, in questo caso "finanza".In POSIX, when Alice creates a file, the owning group of that file is set to her primary group, which in this case is "finance."

Quando viene creato un nuovo elemento del file system, Data Lake Store assegna un valore al gruppo proprietario.When a new filesystem item is created, Data Lake Store assigns a value to the owning group.

  • Caso 1: cartella radice "/".Case 1: The root folder "/". Questa cartella viene creata al momento della creazione di un account Data Lake Store.This folder is created when a Data Lake Store account is created. In questo caso il gruppo proprietario viene impostato sull'utente che ha creato l'account.In this case, the owning group is set to the user who created the account.
  • Caso 2: tutti gli altri casi. Quando viene creato un nuovo elemento, il gruppo proprietario viene copiato dalla cartella padre.Case 2 (Every other case): When a new item is created, the owning group is copied from the parent folder.

Il gruppo proprietario può essere modificato da:The owning group can be changed by:

  • Qualsiasi utente con privilegi avanzati.Any super-users.
  • Utente proprietario, se è anche membro del gruppo di destinazioneThe owning user, if the owning user is also a member of the target group.

Algoritmo di controllo dell'accessoAccess check algorithm

La figura seguente rappresenta l'algoritmo di controllo dell'accesso per gli account Data Lake Store.The following illustration represents the access check algorithm for Data Lake Store accounts.

Algoritmo per gli ACL in Data Lake Store

Proprietà mask e "autorizzazioni valide"The mask and "effective permissions"

La maschera è un valore RWX usato per limitare l'accesso per utenti non anonimi, gruppo proprietario e gruppi con nome durante l'esecuzione dell'algoritmo di controllo dell'accesso.The mask is an RWX value that is used to limit access for named users, the owning group, and named groups when you're performing the access check algorithm. Di seguito sono descritti i concetti chiave relativi a mask.Here are the key concepts for the mask.

  • La maschera crea autorizzazioni valide.The mask creates "effective permissions." Vale a dire che modifica le autorizzazioni al momento del controllo di accesso.That is, it modifies the permissions at the time of access check.
  • La maschera può essere modificata direttamente dal proprietario del file e da qualsiasi utente con privilegi avanzati.The mask can be directly edited by the file owner and any super-users.
  • La maschera può rimuovere autorizzazioni per creare l'autorizzazione valida,The mask can remove permissions to create the effective permission. ma non può aggiungere autorizzazioni all'autorizzazione valida.The mask cannot add permissions to the effective permission.

Verranno ora esaminati alcuni esempi.Let's look at some examples. Nell'esempio seguente la maschera è impostata su RWX e non rimuove quindi alcuna autorizzazione.In the following example, the mask is set to RWX, which means that the mask does not remove any permissions. Le autorizzazioni valide per l'utente non anonimo, il gruppo proprietario e il gruppo con nome non vengono modificate durante il controllo di accesso.The effective permissions for the named user, owning group, and named group are not altered during the access check.

ACL in Data Lake Store

Nell'esempio seguente la maschera è impostata su R-X.In the following example, the mask is set to R-X. Ciò significa che disabilita l'autorizzazione di scrittura per l'utente non anonimo, il gruppo proprietario e il gruppo con nome al momento del controllo di accesso.This means that it turns off the Write permissions for named user, owning group, and named group at the time of access check.

ACL in Data Lake Store

Per riferimento, di seguito è illustrata la visualizzazione nel portale di Azure della maschera per un file o una cartella.For reference, here is where the mask for a file or folder appears in the Azure portal.

ACL in Data Lake Store

Nota

Per un nuovo account Data Lake Store, l'impostazione predefinita della maschera per l'ACL di accesso e l'ACL predefinito della cartella radice ("/") è RWX.For a new Data Lake Store account, the mask for the Access ACL and Default ACL of the root folder ("/") defaults to RWX.

Autorizzazioni per nuovi file e cartellePermissions on new files and folders

Quando si crea un nuovo file o una nuova cartella in una cartella esistente, l'ACL predefinito per la cartella padre determina quanto segue:When a new file or folder is created under an existing folder, the Default ACL on the parent folder determines:

  • ACL predefinito e ACL di accesso di una cartella figlio.A child folder’s Default ACL and Access ACL.
  • ACL di accesso di un file figlio (i file non hanno un ACL predefinito).A child file's Access ACL (files do not have a Default ACL).

ACL di accesso di una cartella o un file figlio.The Access ACL of a child file or folder

Quando si crea una cartella o un file figlio, l'ACL predefinito dell'elemento padre viene copiato come ACL di accesso della cartella o del file figlio.When a child file or folder is created, the parent's Default ACL is copied as the Access ACL of the child file or folder. Se altri utenti hanno autorizzazioni RWX nell'ACL predefinito dell'elemento padre, vengono rimosse dall'ACL di accesso dell'elemento figlio.Also, if other user has RWX permissions in the parent's default ACL, it is removed from the child item's Access ACL.

ACL in Data Lake Store

Nella maggior parte degli scenari le informazioni sopra riportate sono sufficienti a illustrare il modo in cui viene determinato l'ACL di accesso di un elemento figlio.In most scenarios, the previous information is all you need to know about how a child item’s Access ACL is determined. Se si ha familiarità con i sistemi POSIX e si vuole comprendere in modo approfondito come viene ottenuta questa trasformazione, vedere la sezione Ruolo di umask nella creazione dell'ACL di accesso per nuovi file e cartelle più avanti in questo articolo.However, if you are familiar with POSIX systems and want to understand in-depth how this transformation is achieved, see the section Umask’s role in creating the Access ACL for new files and folders later in this article.

ACL predefinito di una cartella figlioA child folder's Default ACL

Quando viene creata una cartella figlio in una cartella padre, l'ACL predefinito della cartella padre viene copiato, così com'è, nell'ACL predefinito della cartella figlio.When a child folder is created under a parent folder, the parent folder's Default ACL is copied over as is to the child folder's Default ACL.

ACL in Data Lake Store

Argomenti avanzati per informazioni dettagliate sugli ACL in Data Lake StoreAdvanced topics for understanding ACLs in Data Lake Store

Di seguito sono riportati alcuni argomenti avanzati utili per comprendere il modo in cui vengono determinati gli ACL per i file e le cartelle di Data Lake Store.Following are some advanced topics to help you understand how ACLs are determined for Data Lake Store files or folders.

Ruolo di umask nella creazione dell'ACL di accesso per nuovi file e cartelleUmask’s role in creating the Access ACL for new files and folders

In un sistema compatibile con POSIX, il concetto generale è che umask è un valore a 9 bit relativo alla cartella padre che viene usato per trasformare l'autorizzazione per l'utente proprietario, il gruppo proprietario e gli altri utenti nell'ACL di accesso di una nuova cartella o un nuovo file figlio.In a POSIX-compliant system, the general concept is that umask is a 9-bit value on the parent folder that's used to transform the permission for owning user, owning group, and other on the Access ACL of a new child file or folder. I bit di umask identificano i bit da disattivare nell'ACL di accesso dell'elemento figlio.The bits of a umask identify which bits to turn off in the child item’s Access ACL. L'opzione umask viene così usata per impedire in modo selettivo la propagazione delle autorizzazioni per l'utente proprietario, il gruppo proprietario e gli altri utenti.Thus it is used to selectively prevent the propagation of permissions for owning user, owning group, and other.

In un sistema HDFS umask è in genere un'opzione di configurazione a livello di sito controllata dagli amministratori.In an HDFS system, the umask is typically a sitewide configuration option that is controlled by administrators. Data Lake Store usa una proprietà umask a livello di account non modificabile.Data Lake Store uses an account-wide umask that cannot be changed. La tabella seguente illustra l'opzione umask per Data Lake Store.The following table shows the unmask for Data Lake Store.

Gruppo utentiUser group ImpostazioneSetting Effetto sull'ACL di accesso di un nuovo elemento figlioEffect on new child item's Access ACL
utente proprietarioOwning user --- Nessun effettoNo effect
gruppo proprietarioOwning group --- Nessun effettoNo effect
altriOther RWXRWX Rimuovere Lettura + Scrittura + EsecuzioneRemove Read + Write + Execute

La figura seguente illustra il funzionamento di questa proprietà umask.The following illustration shows this umask in action. L'effetto in definitiva è la rimozione dell'autorizzazione Lettura + Scrittura + Esecuzione per gli altri utenti.The net effect is to remove Read + Write + Execute for other user. Dato che in umask non sono specificati bit per l'utente proprietario e il gruppo proprietario, tali autorizzazioni non vengono trasformate.Because the umask did not specify bits for owning user and owning group, those permissions are not transformed.

ACL in Data Lake Store

Sticky bitThe sticky bit

Lo sticky bit è una funzionalità più avanzata di un file system POSIX.The sticky bit is a more advanced feature of a POSIX filesystem. Nel contesto di Data Lake Store, è improbabile che lo sticky bit sia necessario.In the context of Data Lake Store, it is unlikely that the sticky bit will be needed.

La tabella seguente descrive il funzionamento dello sticky bit in Data Lake Store.The following table shows how the sticky bit works in Data Lake Store.

Gruppo utentiUser group FileFile CartellaFolder
Sticky bit OFFSticky bit OFF Nessun effettoNo effect Nessun effettoNo effect.
Sticky bit ONSticky bit ON Nessun effettoNo effect Impedisce a chiunque tranne agli utenti con privilegi avanzati e all'utente proprietario di un elemento figlio di eliminare o rinominare l'elemento figlio.Prevents anyone except super-users and the owning user of a child item from deleting or renaming that child item.

Lo sticky bit non viene visualizzato nel portale di Azure.The sticky bit is not shown in the Azure portal.

Domande frequenti sugli ACL in Data Lake StoreCommon questions about ACLs in Data Lake Store

Di seguito sono riportate alcune domande frequenti sugli ACL in Data Lake Store.Here are some questions that come up often about ACLs in Data Lake Store.

È necessario abilitare il supporto per gli ACL?Do I have to enable support for ACLs?

No.No. Il controllo di accesso tramite ACL è sempre attivo per un account Data Lake Store.Access control via ACLs is always on for a Data Lake Store account.

Quali autorizzazioni sono necessarie per eliminare in modo ricorsivo una cartella e il relativo contenuto?Which permissions are required to recursively delete a folder and its contents?

  • Sono necessarie autorizzazioni di Scrittura + Esecuzione per la cartella padre.The parent folder must have Write + Execute permissions.
  • Sono necessarie autorizzazioni di Lettura + Scrittura + Esecuzione per la cartella da eliminare e per ogni cartella al suo interno.The folder to be deleted, and every folder within it, requires Read + Write + Execute permissions.

Nota

Non sono necessarie autorizzazioni di Scrittura per eliminare i file nelle cartelle.You do not need Write permissions to delete files in folders. La cartella radice "/" non può mai essere eliminata.Also, the root folder "/" can never be deleted.

Chi è il proprietario di un file o una cartella?Who is the owner of a file or folder?

Il creatore di un file o una cartella ne diventa il proprietario.The creator of a file or folder becomes the owner.

Quale gruppo viene impostato come gruppo proprietario di un file o una cartella al momento della creazione?Which group is set as the owning group of a file or folder at creation?

Il gruppo proprietario viene copiato da quello della cartella padre in cui si crea il nuovo file o la nuova cartella.The owning group is copied from the owning group of the parent folder under which the new file or folder is created.

Se l'utente proprietario di un file non ha le autorizzazioni RWX di cui ha bisogno,I am the owning user of a file but I don’t have the RWX permissions I need. che cosa occorre fare?What do I do?

L'utente proprietario può modificare le autorizzazioni del file in modo da assegnarsi tutte le autorizzazioni RWX necessarie.The owning user can change the permissions of the file to give themselves any RWX permissions they need.

La visualizzazione degli ACL nel portale di Azure mostra i nomi utente, mentre tramite le API vengono visualizzati i GUID. Per quale motivo?When I look at ACLs in the Azure portal I see user names but through APIs, I see GUIDs, why is that?

Le voci negli ACL vengono archiviate come GUID che corrispondono agli utenti in Azure AD.Entries in the ACLs are stored as GUIDs that correspond to users in Azure AD. Le API restituiscono i GUID così come sono.The APIs return the GUIDs as is. Il portale di Azure tenta di semplificare l'uso degli ACL traducendo i GUID in nomi descrittivi, quando è possibile.The Azure portal tries to make ACLs easier to use by translating the GUIDs into friendly names when possible.

Perché a volte negli ACL vengono visualizzati i GUID quando si usa il portale di Azure?Why do I sometimes see GUIDs in the ACLs when I'm using the Azure portal?

Il GUID viene visualizzato quando l'utente non esiste più in Azure AD.A GUID is shown when the user doesn't exist in Azure AD anymore. In genere ciò si verifica se l'utente non fa più parte dell'azienda o l'account è stato eliminato in Azure AD.Usually this happens when the user has left the company or if their account has been deleted in Azure AD.

Data Lake Store supporta l'ereditarietà degli ACL?Does Data Lake Store support inheritance of ACLs?

No.No.

Qual è la differenza tra mask e umask?What is the difference between mask and umask?

maskmask umaskumask
La proprietà mask è disponibile per ogni file e cartella.The mask property is available on every file and folder. umask è una proprietà dell'account Data Lake Store.The umask is a property of the Data Lake Store account. Di conseguenza, in Data Lake Store esiste un unico valore umask.So there is only a single umask in the Data Lake Store.
La proprietà mask per un file o una cartella può essere modificata dall'utente proprietario, dal gruppo proprietario di un file o da un superuser.The mask property on a file or folder can be altered by the owning user or owning group of a file or a super-user. La proprietà umask non può essere modificata da alcun utente, inclusi gli utenti con privilegi avanzati.The umask property cannot be modified by any user, even a super-user. È un valore costante non modificabile.It is an unchangeable, constant value.
La proprietà mask viene usata durante l'algoritmo di controllo dell'accesso in fase di esecuzione per determinare se un utente ha il diritto di eseguire un'operazione su un file o una cartella.The mask property is used during the access check algorithm at runtime to determine whether a user has the right to perform on operation on a file or folder. Il ruolo di mask è creare "autorizzazioni valide" al momento del controllo dell'accesso.The role of the mask is to create "effective permissions" at the time of access check. L'opzione umask non viene usata durante il controllo dell'accesso.The umask is not used during access check at all. Viene usata per determinare l'ACL di accesso dei nuovi elementi figlio di una cartella.The umask is used to determine the Access ACL of new child items of a folder.
La proprietà mask è un valore RWX a 3 bit applicato a un utente non anonimo, a un gruppo con nome e all'utente proprietario al momento del controllo dell'accesso.The mask is a 3-bit RWX value that applies to named user, named group, and owning user at the time of access check. Umask è un valore a 9 bit applicato all'utente proprietario, al gruppo proprietario e agli altri utenti di un nuovo elemento figlio.The umask is a 9-bit value that applies to the owning user, owning group, and other of a new child.

Dove è possibile reperire altre informazioni sul modello di controllo di accesso POSIX?Where can I learn more about POSIX access control model?

Vedere ancheSee also