Protezione dei dati presenti in Archivio Data Lake di AzureSecuring data stored in Azure Data Lake Store

La protezione dei dati presenti in Archivio Data Lake di Azure prevede un approccio suddiviso in tre fasi.Securing data in Azure Data Lake Store is a three-step approach.

  1. Creazione di gruppi di sicurezza in Azure Active Directory,Start by creating security groups in Azure Active Directory (AAD). Questi gruppi di sicurezza vengono usati per implementare il controllo degli accessi in base al ruolo nel portale di Azure.These security groups are used to implement role-based access control (RBAC) in Azure portal. Per altre informazioni, vedere Controllo degli accessi in base al ruolo in Microsoft Azure.For more information, see Role-based Access Control in Microsoft Azure.
  2. Assegnazione dei gruppi di sicurezza AAD all'account di Archivio Data Lake di Azure.Assign the AAD security groups to the Azure Data Lake Store account. In questo modo è possibile controllare l'accesso all'account di Archivio Data Lake dal portale e le operazioni di gestione dal portale o dalle API.This controls access to the Data Lake Store account from the portal and management operations from the portal or APIs.
  3. Assegnazione dei gruppi di sicurezza AAD come elenchi di controllo di accesso al file system di Archivio Data Lake.Assign the AAD security groups as access control lists (ACLs) on the Data Lake Store file system.
  4. È anche possibile impostare un intervallo di indirizzi IP per i client che possono accedere ai dati in Archivio Data Lake.Additionally, you can also set an IP address range for clients that can access the data in Data Lake Store.

Questo articolo fornisce istruzioni sull'uso del portale di Azure per eseguire le attività appena descritte.This article provides instructions on how to use the Azure portal to perform the above tasks. Per informazioni dettagliate sull'implementazione della sicurezza a livello di account e di dati in Archivio Data Lake, vedere Security in Azure Data Lake Store(Sicurezza in Archivio Azure Data Lake).For in-depth information on how Data Lake Store implements security at the account and data level, see Security in Azure Data Lake Store. Per informazioni di approfondimento su come vengono implementati gli elenchi di controllo di accesso in Azure Data Lake Store, vedere la panoramica sul controllo di accesso in Data Lake Store.For deep-dive information on how ACLs are implemented in Azure Data Lake Store, see Overview of Access Control in Data Lake Store.

PrerequisitiPrerequisites

Prima di iniziare questa esercitazione, è necessario disporre di quanto segue:Before you begin this tutorial, you must have the following:

Creare gruppi di sicurezza in Azure Active DirectoryCreate security groups in Azure Active Directory

Per istruzioni su come creare gruppi di sicurezza AAD e come aggiungere utenti ai gruppi, vedere Gestione dei gruppi di sicurezza in Azure Active Directory.For instructions on how to create AAD security groups and how to add users to the group, see Managing security groups in Azure Active Directory.

Nota

È possibile aggiungere utenti e altri gruppi a un gruppo in Azure AD tramite il portale di Azure.You can add both users and other groups to a group in Azure AD using the Azure portal. Tuttavia, per aggiungere un'entità servizio a un gruppo, usare il modulo PowerShell di Azure AD.However, in order to add a service principal to a group, use Azure AD’s PowerShell module.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Assegnare utenti o gruppi di sicurezza ad account di Archivio Data Lake di AzureAssign users or security groups to Azure Data Lake Store accounts

Quando si assegnano utenti o gruppi di sicurezza ad account di Archivio Data Lake di Azure, è possibile controllare l'accesso alle operazioni di gestione eseguite sull'account tramite il portale di Azure o le API di Gestione risorse di Azure.When you assign users or security groups to Azure Data Lake Store accounts, you control access to the management operations on the account using the Azure portal and Azure Resource Manager APIs.

  1. Aprire un account di Archivio Data Lake di Azure.Open an Azure Data Lake Store account. Nel riquadro sinistro fare clic su Sfoglia e su Data Lake Store, quindi nel pannello Data Lake Store fare clic sul nome dell'account a cui si desidera assegnare un utente o un gruppo di sicurezza.From the left pane, click Browse, click Data Lake Store, and then from the Data Lake Store blade, click the account name to which you want to assign a user or security group.

  2. Nel pannello delle impostazioni dell'account Data Lake Store fare clic su Controllo di accesso (IAM).In your Data Lake Store account settings blade, click Access Control (IAM). Per impostazione predefinita il pannello elenca il gruppo Amministratori della sottoscrizione come proprietario.The blade by default lists Subscription admins group as an owner.

    Assegnare un gruppo di sicurezza all'account Azure Data Lake StoreAssign security group to Azure Data Lake Store account

    Esistono due modi per aggiungere un gruppo e assegnare i ruoli appropriati.There are two ways to add a group and assign relevant roles.

    • Aggiungere un utente/gruppo all'account e assegnare ad esso un ruolo, oppureAdd a user/group to the account and then assign a role, or
    • Aggiungere un ruolo ed assegnare ad esso utenti/gruppi.Add a role and then assign users/groups to role.

      In questa sezione si prenderà in esame il primo metodo, che prevede l'aggiunta di un gruppo e la conseguente assegnazione dei ruoli.In this section, we look at the first approach, adding a group and then assigning roles. È possibile eseguire una procedura simile anche per il secondo metodo, in cui si seleziona prima un ruolo e quindi si assegnano i gruppi.You can perform similar steps to first select a role and then assign groups to that role.

  3. Nel pannello Utenti fare clic su Aggiungi per aprire il pannello Aggiungi accesso.In the Users blade, click Add to open the Add access blade. Nel pannello Aggiungi accesso fare clic su Selezionare un ruolo e scegliere un ruolo per l'utente o il gruppo.In the Add access blade, click Select a role, and then select a role for the user/group.

    Aggiungere un ruolo per l'utenteAdd a role for the user

    I ruoli Proprietario e Collaboratore offrono l'accesso a un'ampia gamma di funzioni di amministrazione sull'account di Data Lake.The Owner and Contributor role provide access to a variety of administration functions on the data lake account. Gli utenti che interagiranno con i dati presenti in Data Lake potranno essere aggiunti al ruolo **Lettore **.For users who will interact with data in the data lake, you can add them to the **Reader **role. L'ambito di questi ruoli è limitato alle operazioni di gestione correlate all'account di Archivio Data Lake di Azure.The scope of these roles is limited to the management operations related to the Azure Data Lake Store account.

    Per le operazioni sui dati, invece, l'ambito d'azione degli utenti viene definito dalle singole autorizzazioni a livello di file system.For data operations individual file system permissions define what the users can do. Pertanto, un utente con il ruolo Lettore può visualizzare solo le impostazioni amministrative associate all'account, ma potrebbe anche leggere e scrivere dati, in base alle autorizzazioni per il file system che gli sono state assegnate.Therefore, a user having a Reader role can only view administrative settings associated with the account but can potentially read and write data based on file system permissions assigned to them. Le autorizzazioni per il file system di Archivio Data Lake sono descritte nella sezione Assegnare utenti o gruppi di sicurezza come elenchi di controllo di accesso al file system di Archivio Data Lake di Azure.Data Lake Store file system permissions are described at Assign security group as ACLs to the Azure Data Lake Store file system.

  4. Nel pannello Aggiungi accesso fare clic su Aggiungi utenti per aprire il pannello Aggiungi utenti.In the Add access blade, click Add users to open the Add users blade. In questo pannello, cercare il gruppo di sicurezza precedentemente creato in Azure Active Directory.In this blade, look for the security group you created earlier in Azure Active Directory. Se è presente un elevato numero di gruppi, usare la casella di testo nella parte superiore per filtrare in base al nome del gruppo.If you have a lot of groups to search from, use the text box at the top to filter on the group name. Fare clic su Seleziona.Click Select.

    Aggiungere un gruppo di sicurezzaAdd a security group

    Se si desidera aggiungere un gruppo/utente non elencato, è possibile invitarlo selezionando l'icona Invita e specificando l'indirizzo di posta elettronica dell'utente/gruppo.If you want to add a group/user that is not listed, you can invite them by using the Invite icon and specifying the e-mail address for the user/group.

  5. Fare clic su OK.Click OK. Il gruppo di sicurezza dovrebbe essere ora aggiunto all'elenco, come illustrato di seguito.You should see the security group added as shown below.

    Gruppo di sicurezza aggiuntoSecurity group added

  6. L'utente/gruppo di sicurezza dispone ora dell'autorizzazione di accesso all'account di Archivio Data Lake di Azure.Your user/security group now has access to the Azure Data Lake Store account. Se si desidera assegnare l'accesso a un utente specifico, è possibile aggiungerlo al gruppo di sicurezza.If you want to provide access to specific users, you can add them to the security group. Analogamente, se si desidera revocare l'accesso per un utente, è possibile rimuoverlo dal gruppo di sicurezza.Similarly, if you want to revoke access for a user, you can remove them from the security group. È possibile anche assegnare più gruppi di sicurezza a un account.You can also assign multiple security groups to an account.

Assegnare utenti o gruppi di sicurezza come elenchi di controllo di accesso al file system di Archivio Data Lake di AzureAssign users or security group as ACLs to the Azure Data Lake Store file system

Con l'assegnazione di utenti/gruppi di sicurezza al file system di Azure Data Lake, si imposta il controllo di accesso sui dati presenti in Archivio Data Lake di Azure.By assigning user/security groups to the Azure Data Lake file system, you set access control on the data stored in Azure Data Lake Store.

  1. Nel pannello dell'account di Archivio Data Lake, fare clic su Esplora dati.In your Data Lake Store account blade, click Data Explorer.

    Creare directory nell'account Data Lake StoreCreate directories in Data Lake Store account

  2. Nel pannello Esplora dati fare clic sul file o sulla cartella per cui si vuole configurare l'elenco di controllo di accesso e quindi fare clic su Accesso.In the Data Explorer blade, click the file or folder for which you want to configure the ACL, and then click Access. Per assegnare l'elenco di controllo di accesso a un file, è necessario fare clic su Accesso dal pannello Anteprima file.To assign ACL to a file, you must click Access from the File Preview blade.

    Configurare elenchi di controllo di accesso nel file system di Data LakeSet ACLs on Data Lake file system

  3. Il pannello di accesso elenca i profili di accesso standard e personalizzato già assegnati all'elemento radice.The Access blade lists the standard access and custom access already assigned to the root. Fare clic sull'icona Aggiungi per aggiungere elenchi di controllo per l'accesso personalizzato.Click the Add icon to add custom-level ACLs.

    Elencare gli accessi standard e personalizzatiList standard and custom access

    • accesso standard è un tipo di accesso in stile UNIX, in cui si specificano i permessi di lettura, scrittura ed esecuzione per tre diverse classi utente: proprietario, gruppo e altri.Standard access is the UNIX-style access, where you specify read, write, execute (rwx) to three distinct user classes: owner, group, and others.
    • accesso personalizzato corrisponde invece agli elenchi di controllo di accesso POSIX, che permettono di impostare autorizzazioni per utenti non anonimi o gruppi specifici e non solo il gruppo o il proprietario del file.Custom access corresponds to the POSIX ACLs that enables you to set permissions for specific named users or groups, and not only the file's owner or group.

      Per altre informazioni, vedere l'articolo sugli elenchi di controllo di accesso HDFS.For more information, see HDFS ACLs. Per altre informazioni sull'implementazione degli elenchi di controllo di accesso in Data Lake Store, vedere Controllo di accesso in Data Lake Store.For more information on how ACLs are implemented in Data Lake Store, see Access Control in Data Lake Store.

  4. Fare clic sull'icona Aggiungi per aprire il pannello Aggiungi accesso personalizzato.Click the Add icon to open the Add Custom Access blade. In questo pannello fare clic su Seleziona utente o gruppo e, nel pannello Seleziona utente o gruppo, cercare il gruppo di sicurezza precedentemente creato in Azure Active Directory.In this blade, click Select User or Group, and then in Select User or Group blade, look for the security group you created earlier in Azure Active Directory. Se è presente un elevato numero di gruppi, usare la casella di testo nella parte superiore per filtrare in base al nome del gruppo.If you have a lot of groups to search from, use the text box at the top to filter on the group name. Fare clic sul gruppo che si desidera aggiungere e quindi su Seleziona.Click the group you want to add and then click Select.

    Aggiungere un gruppoAdd a group

  5. Fare clic su Selezionare le autorizzazioni, selezionare le autorizzazioni e se si desidera assegnare le autorizzazioni come un ACL predefinito, ACL di accesso o entrambi.Click Select Permissions, select the permissions and whether you want to assign the permissions as a default ACL, access ACL, or both. Fare clic su OK.Click OK.

    Assegnare autorizzazioni a un gruppoAssign permissions to group

    Per altre informazioni sulle autorizzazioni in Data Lake Store e gli ACL predefiniti/di accesso, vedere Controllo di accesso in Data Lake Store.For more information about permissions in Data Lake Store, and Default/Access ACLs, see Access Control in Data Lake Store.

  6. Nel pannello Aggiungi accesso personalizzato fare clic su OK.In the Add Custom Access blade, click OK. Il gruppo appena aggiunto, con le autorizzazioni associate, risulterà ora elencato nel pannello di accesso .The newly added group, with the associated permissions, will now be listed in the Access blade.

    Assegnare autorizzazioni a un gruppoAssign permissions to group

    Importante

    Nella versione corrente l'elenco di accesso personalizzatonon può contenere più di nove voci.In the current release, you can only have 9 entries under Custom Access. Per aggiungere più di 9 utenti, è necessario creare gruppi di sicurezza, aggiungere utenti a tali gruppi e fornire ai gruppi di sicurezza creati accesso all'account di Archivio Data Lake.If you want to add more than 9 users, you should create security groups, add users to security groups, add provide access to those security groups for the Data Lake Store account.

  7. Se necessario, è possibile modificare le autorizzazioni di accesso anche dopo aver aggiunto il gruppo.If required, you can also modify the access permissions after you have added the group. Selezionare o deselezionare la casella di controllo per ogni tipo di autorizzazione (lettura, scrittura, esecuzione), in modo da aggiungerla o rimuoverla dal gruppo di sicurezza.Clear or select the check box for each permission type (Read, Write, Execute) based on whether you want to remove or assign that permission to the security group. Fare clic su Salva per salvare le modifiche o su Ignora per annullare le modifiche.Click Save to save the changes, or Discard to undo the changes.

Impostare l'intervallo di indirizzi IP per l'accesso ai datiSet IP address range for data access

Archivio Azure Data Lake consente di bloccare ulteriormente l'accesso all'archivio dati a livello di rete.Azure Data Lake Store enables you to further lock down access to your data store at network level. È possibile abilitare il firewall, specificare un indirizzo IP e definire un intervallo di indirizzi IP per i client attendibili.You can enable firewall, specify an IP address, or define an IP address range for your trusted clients. Dopo l'abilitazione, solo i client con indirizzo IP compreso nell'intervallo definito possono connettersi all'archivio.Once enabled, only clients that have the IP addresses within defined range can connect to the store.

Impostazioni del firewall e accesso IPFirewall settings and IP access

Rimuovere gruppi di sicurezza da un account di Archivio Data Lake di AzureRemove security groups for an Azure Data Lake Store account

Quando si rimuovono gruppi di sicurezza da un account di Archivio Data Lake di Azure, si modifica semplicemente l'accesso alle operazioni di gestione eseguite sull'account tramite il portale di Azure o le API di Gestione risorse di Azure.When you remove security groups from Azure Data Lake Store accounts, you are only changing access to the management operations on the account using the Azure Portal and Azure Resource Manager APIs.

  1. Nel pannello dell'account di Data Lake Store fare clic su Impostazioni.In your Data Lake Store account blade, click Settings. Nel pannello Impostazioni fare clic su Utenti.From the Settings blade, click Users.

    Assegnare un gruppo di sicurezza all'account Azure Data LakeAssign security group to Azure Data Lake account

  2. Nel pannello Utenti fare clic sul gruppo di sicurezza da rimuovere.In the Users blade click the security group you want to remove.

    Gruppo di sicurezza da rimuovereSecurity group to remove

  3. Nel pannello relativo al gruppo di sicurezza fare clic su Rimuovi.In the blade for the security group, click Remove.

    Gruppo di sicurezza rimossoSecurity group removed

Rimuovere elenchi di controllo di accesso di gruppi di sicurezza dal file system di Archivio Data Lake di AzureRemove security group ACLs from Azure Data Lake Store file system

Quando si rimuovono gli elenchi di controllo di accesso dei gruppi di sicurezza dal file system di Azure Data Lake Store si modifica l'accesso ai dati presenti in Archivio Data Lake.When you remove security groups ACLs from Azure Data Lake Store file system, you change access to the data in the Data Lake Store.

  1. Nel pannello dell'account di Archivio Data Lake, fare clic su Esplora dati.In your Data Lake Store account blade, click Data Explorer.

    Creare directory nell'account Data LakeCreate directories in Data Lake account

  2. Nel pannello Esplora dati fare clic sul file o sulla cartella per cui si vuole rimuovere l'elenco di controllo di accesso e quindi fare clic sull'icona Accesso nel pannello dell'account.In the Data Explorer blade, click the file or folder for which you want to remove the ACL, and then in your account blade, click the Access icon. Per rimuovere l'elenco di controllo di accesso per un file, fare clic su Accesso dal pannello Anteprima file.To remove ACL for a file, you must click Access from the File Preview blade.

    Configurare elenchi di controllo di accesso nel file system di Data LakeSet ACLs on Data Lake file system

  3. Nel pannello di accesso, all'interno della sezione Accesso personalizzato, fare clic sul gruppo di sicurezza da rimuovere.In the Access blade, from the Custom Access section, click the security group you want to remove. Nel pannello Accesso personalizzato fare clic su Rimuovi e quindi su OK.In the Custom Access blade, click Remove and then click OK.

    Assegnare autorizzazioni a un gruppoAssign permissions to group

Vedere ancheSee also