Azure Data Lake Storage Gen1 に格納されているデータのセキュリティ保護Securing data stored in Azure Data Lake Storage Gen1

Azure Data Lake Storage Gen1 のデータをセキュリティで保護するには 3 つの手順が必要です。Securing data in Azure Data Lake Storage Gen1 is a three-step approach. ユーザーとセキュリティ グループに対してデータへのアクセスを完全に有効にするには、ロールベースのアクセス制御 (RBAC) とアクセス制御リスト (ACL) の両方を設定する必要があります。Both role-based access control (RBAC) and access control lists (ACLs) must be set to fully enable access to data for users and security groups.

  1. まず、Azure Active Directory (AAD) でセキュリティ グループを作成します。Start by creating security groups in Azure Active Directory (AAD). これらのセキュリティ グループを使用して、Azure Portal でロールベースのアクセス制御 (RBAC) を実装します。These security groups are used to implement role-based access control (RBAC) in Azure portal. 詳細については、Microsoft Azure でのロールベースのアクセス制御に関するページを参照してください。For more information, see Role-based Access Control in Microsoft Azure.
  2. AAD セキュリティ グループを Data Lake Storage Gen1 アカウントに割り当てます。Assign the AAD security groups to the Data Lake Storage Gen1 account. これにより、ポータルから Data Lake Storage Gen1 アカウントへのアクセス、およびポータルまたは API による管理操作が制御されます。This controls access to the Data Lake Storage Gen1 account from the portal and management operations from the portal or APIs.
  3. AAD セキュリティ グループをアクセス制御リスト (ACL) として Data Lake Storage Gen1 ファイル システムに割り当てます。Assign the AAD security groups as access control lists (ACLs) on the Data Lake Storage Gen1 file system.
  4. さらに、Data Lake Storage Gen1 内のデータにアクセスできるクライアントの IP アドレスの範囲を設定することもできます。Additionally, you can also set an IP address range for clients that can access the data in Data Lake Storage Gen1.

この記事では、Azure ポータルを使用して上記タスクを実行する方法について説明します。This article provides instructions on how to use the Azure portal to perform the above tasks. Data Lake Storage Gen1 でアカウントおよびデータのレベルでどのようにセキュリティが実装されるかの詳細については、「Security in Azure Data Lake Storage Gen1 (Azure Data Lake Storage Gen1 のセキュリティ)」を参照してください。For in-depth information on how Data Lake Storage Gen1 implements security at the account and data level, see Security in Azure Data Lake Storage Gen1. Data Lake Storage Gen1 で ACL がどのように実装されているかの詳細については、Azure Data Lake Store Gen1 のアクセス制御の概要に関するページをご覧ください。For deep-dive information on how ACLs are implemented in Data Lake Storage Gen1, see Overview of Access Control in Data Lake Storage Gen1.

前提条件Prerequisites

このチュートリアルを読み始める前に、次の項目を用意する必要があります。Before you begin this tutorial, you must have the following:

Azure Active Directory でセキュリティ グループを作成するCreate security groups in Azure Active Directory

AAD セキュリティ グループを作成する手順および AAD セキュリティ グループにユーザーを追加する手順については、「 Azure Active Directory のセキュリティ グループの管理」を参照してください。For instructions on how to create AAD security groups and how to add users to the group, see Managing security groups in Azure Active Directory.

注意

Azure Portal を使用すると、Azure AD のグループにユーザーとその他のグループの両方を追加できます。You can add both users and other groups to a group in Azure AD using the Azure portal. ただし、サービス プリンシパルをグループに追加するには、Azure AD の PowerShell モジュールを使用します。However, in order to add a service principal to a group, use Azure AD’s PowerShell module.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

ユーザーまたはセキュリティ グループを Data Lake Storage Gen1 アカウントに割り当てるAssign users or security groups to Data Lake Storage Gen1 accounts

ユーザーまたはセキュリティ グループを Data Lake Storage Gen1 アカウントに割り当てる場合は、Azure portal と Azure Resource Manager API を使用して、アカウントに関する管理操作へのアクセスを制御します。When you assign users or security groups to Data Lake Storage Gen1 accounts, you control access to the management operations on the account using the Azure portal and Azure Resource Manager APIs.

  1. Data Lake Storage Gen1 アカウントを開きます。Open a Data Lake Storage Gen1 account. 左側のウィンドウで [すべてのリソース] をクリックし、[すべてのリソース] ブレードで、ユーザーまたはセキュリティ グループを割り当てるアカウント名をクリックします。From the left pane, click All resources, and then from the All resources blade, click the account name to which you want to assign a user or security group.

  2. Data Lake Storage Gen1 アカウントのブレードで、[アクセス制御 (IAM)] をクリックします。In your Data Lake Storage Gen1 account blade, click Access Control (IAM). ブレードには、所有者としてサブスクリプション所有者が既定で表示されます。The blade by default lists the subscription owners as the owner.

    セキュリティ グループを Azure Data Lake Storage Gen1 アカウントに割り当てるAssign security group to Azure Data Lake Storage Gen1 account

  3. [アクセス制御 (IAM)] ブレードで、[追加] をクリックして [アクセス許可の追加] ブレードを開きます。In the Access Control (IAM) blade, click Add to open the Add permissions blade. [アクセス許可の追加] ブレードで、ユーザー/グループのロールを選択します。In the Add permissions blade, select a Role for the user/group. Azure Active Directory で以前に作成したセキュリティ グループを検索して選択します。Look for the security group you created earlier in Azure Active Directory and select it. 多数のユーザーおよびグループの中から検索する場合は、[選択] ボックスを使用してグループ名をフィルター処理します。If you have a lot of users and groups to search from, use the Select text box to filter on the group name.

    ユーザーのロールを追加するAdd a role for the user

    [所有者] ロールと [共同作成者] ロールは、Data Lake アカウントでさまざまな管理機能へのアクセスを許可します。The Owner and Contributor role provide access to a variety of administration functions on the data lake account. Data Lake 内のデータを操作し、アカウント管理情報も引き続き表示する必要があるユーザーについては、それらのユーザーを [閲覧者] ロールに追加できます。For users who will interact with data in the data lake but still need to view account management information, you can add them to the Reader role. これらのロールの適用範囲は、Data Lake Storage Gen1 アカウントに関連する管理操作に限定されます。The scope of these roles is limited to the management operations related to the Data Lake Storage Gen1 account.

    データ操作の場合、ユーザーが実行できる操作はファイル システムの個々のアクセス許可によって定義されます。For data operations, individual file system permissions define what the users can do. そのため、閲覧者ロールを持つユーザーはアカウントに関連付けられた管理設定しか表示できません。しかし、場合によっては、そのユーザーに割り当てられているファイル システムのアクセス許可に基づいて、データの読み取りおよび書き込みができます。Therefore, a user having a Reader role can only view administrative settings associated with the account but can potentially read and write data based on file system permissions assigned to them. Data Lake Storage Gen1 ファイル システムのアクセス許可については、セキュリティ グループを ACL として Azure Data Lake Storage Gen1 ファイル システムに割り当てる方法に関するセクションをご覧ください。Data Lake Storage Gen1 file system permissions are described at Assign security group as ACLs to the Azure Data Lake Storage Gen1 file system.

    重要

    ファイル システムへのアクセスが自動的に有効になるのは所有者ロールだけです。Only the Owner role automatically enables file system access. 共同作成者閲覧者、および他のすべてのロールでは、ACL でフォルダーとファイルへの任意のアクセス レベルを有効にする必要があります。The Contributor, Reader, and all other roles require ACLs to enable any level of access to folders and files. 所有者ロールでは、ACL によってオーバーライドできない、ファイルとフォルダーのスーパー ユーザーのアクセス許可が付与されます。The Owner role provides super-user file and folder permissions that cannot be overridden via ACLs. RBAC ポリシーをデータ アクセスにマップする方法の詳細については、「RBAC を使用したアカウント管理」をご覧ください。For more information on how RBAC policies map to data access, see RBAC for account management.

  4. [アクセス許可の追加] ブレードに表示されていないグループ/ユーザーを追加する場合は、[選択] ボックスにそのグループ/ユーザーの電子メール アドレスを入力し、一覧からグループ/ユーザーを選択することで招待できます。If you want to add a group/user that is not listed in the Add permissions blade, you can invite them by typing their email address in the Select text box and then selecting them from the list.

    セキュリティ グループを追加するAdd a security group

  5. [Save] をクリックします。Click Save. 次に示すように追加したセキュリティ グループが表示されます。You should see the security group added as shown below.

    追加されたセキュリティ グループSecurity group added

  6. これで、ユーザーまたはセキュリティ グループは、Data Lake Storage Gen1 アカウントにアクセスできるようになりました。Your user/security group now has access to the Data Lake Storage Gen1 account. 特定のユーザーにアクセス権を付与する場合は、対象ユーザーをセキュリティ グループに追加します。If you want to provide access to specific users, you can add them to the security group. 同様に、ユーザーのアクセス権を取り消す場合は、セキュリティ グループから対象ユーザーを削除します。Similarly, if you want to revoke access for a user, you can remove them from the security group. アカウントには複数のセキュリティ グループを割り当てることもできます。You can also assign multiple security groups to an account.

ユーザーまたはセキュリティ グループを ACL として Data Lake Storage Gen1 ファイル システムに割り当てるAssign users or security groups as ACLs to the Data Lake Storage Gen1 file system

ユーザーまたはセキュリティ グループを Data Lake Storage Gen1 ファイル システムに割り当てて、Data Lake Storage Gen1 に格納されたデータに対するアクセス制御を設定します。By assigning user/security groups to the Data Lake Storage Gen1 file system, you set access control on the data stored in Data Lake Storage Gen1.

  1. Data Lake Storage Gen1 アカウントのブレードで、[データ エクスプローラー] をクリックします。In your Data Lake Storage Gen1 account blade, click Data Explorer.

    データ エクスプローラーを使用してデータを表示するView data via Data Explorer

  2. [データ エクスプローラー] ブレードで、ACL を構成するフォルダーをクリックし、[アクセス] をクリックします。In the Data Explorer blade, click the folder for which you want to configure the ACL, and then click Access. ACL をファイルに割り当てるには、まず、対象のファイルをクリックしてプレビューし、[ファイルのプレビュー] ブレードで [アクセス] をクリックする必要があります。To assign ACLs to a file, you must first click the file to preview it and then click Access from the File Preview blade.

    Data Lake Storage Gen1 ファイル システムに ACL を設定するSet ACLs on Data Lake Storage Gen1 file system

  3. [アクセス] ブレードには、所有者と、既にルートに割り当てられているアクセス許可が表示されます。The Access blade lists the owners and assigned permissions already assigned to the root. [追加] アイコンをクリックして、アクセス ACL を追加します。Click the Add icon to add additional Access ACLs.

    重要

    1 つのファイルのアクセス許可を設定しても、そのファイルへのアクセス権がユーザー/グループに必ずしも付与されるわけではありません。Setting access permissions for a single file does not necessarily grant a user/group access to that file. 割り当てられたユーザー/グループが、そのファイルのパスにアクセスできる必要があります。The path to the file must be accessible to the assigned user/group. 詳細と例については、「アクセス許可に関連する一般的なシナリオ」をご覧ください。For more information and examples, see Common scenarios related to permissions.

    標準アクセスとカスタム アクセスを一覧表示するList standard and custom access

    • [所有者][他のすべてのユーザー] では、UNIX 形式のアクセス権を付与します。この場合、読み取り、書き込み、実行 (rwx) を 3 つのユーザー クラス (所有者、グループ、その他) に指定します。The Owners and Everyone else provide UNIX-style access, where you specify read, write, execute (rwx) to three distinct user classes: owner, group, and others.

    • [割り当て済みのアクセス許可] は POSIX ACL に対応します。この場合、ファイルの所有者またはグループだけでなく、特定の名前付きユーザーまたはグループにもアクセス許可を設定できます。Assigned permissions corresponds to the POSIX ACLs that enable you to set permissions for specific named users or groups beyond the file's owner or group.

      詳細については、 HDFS ACLを参照してください。For more information, see HDFS ACLs. Data Lake Storage Gen1 で ACL がどのように実装されているかについては、Azure Data Lake Store Gen1 のアクセス制御に関するページをご覧ください。For more information on how ACLs are implemented in Data Lake Storage Gen1, see Access Control in Data Lake Storage Gen1.

  4. [追加] アイコンをクリックして、[アクセス許可の割り当て] ブレードを開きます。Click the Add icon to open the Assign permissions blade. このブレードの [ユーザーまたはグループの選択] をクリックし、[ユーザーまたはグループの選択] ブレードで、Azure Active Directory で以前に作成したセキュリティ グループを検索します。In this blade, click Select user or group, and then in Select user or group blade, look for the security group you created earlier in Azure Active Directory. 検索対象のグループが多数存在する場合は、上部にあるテキスト ボックスを使用してグループ名をフィルター処理できます。If you have a lot of groups to search from, use the text box at the top to filter on the group name. 追加するグループをクリックして、 [選択] をクリックします。Click the group you want to add and then click Select.

    グループを追加するAdd a group

  5. [アクセス許可の選択] をクリックし、アクセス許可、アクセス許可を再帰的に適用するかどうか、アクセス許可をアクセス ACL、既定の ACL、その両方のどれとして割り当てるかを選択します。Click Select permissions, select the permissions, whether the permissions should be applied to recursively, and whether you want to assign the permissions as an access ACL, default ACL, or both. Click OK.Click OK.

    グループにアクセス許可を割り当てるAssign permissions to group

    Data Lake Storage Gen1 でのアクセス許可と既定/アクセス ACL の詳細については、Data Lake Storage Gen1 のアクセス制御に関するページを参照してください。For more information about permissions in Data Lake Storage Gen1, and Default/Access ACLs, see Access Control in Data Lake Storage Gen1.

  6. [アクセス許可の選択] ブレードで [OK] をクリックすると、新しく追加されたグループと、関連付けられたアクセス許可が [アクセス] ブレードに表示されます。After clicking Ok in the Select permissions blade, the newly added group and associated permissions will now be listed in the Access blade.

    グループにアクセス許可を割り当てるAssign permissions to group

    重要

    現在のリリースでは、[割り当て済みのアクセス許可] で設定できるエントリは最大 28 個です。In the current release, you can have up to 28 entries under Assigned permissions. 28 を超えるユーザーを追加する場合は、セキュリティ グループを作成し、セキュリティ グループにユーザーを追加して、それらのセキュリティ グループに Data Lake Storage Gen1 アカウントに対するアクセス権を付与します。If you want to add more than 28 users, you should create security groups, add users to security groups, add provide access to those security groups for the Data Lake Storage Gen1 account.

  7. 必要に応じて、グループを追加した後で、アクセス許可を変更することもできます。If required, you can also modify the access permissions after you have added the group. 各種類のアクセス許可 (Read、Write、Execute) のチェック ボックスをオフにするかオンにするかは、セキュリティ グループにアクセス許可を割り当てるか、セキュリティ グループからアクセス許可を削除するかに応じて決定します。Clear or select the check box for each permission type (Read, Write, Execute) based on whether you want to remove or assign that permission to the security group. [保存] をクリックして変更を保存するか、[破棄] をクリックして変更を元に戻します。Click Save to save the changes, or Discard to undo the changes.

データ アクセス用の IP アドレスの範囲を設定するSet IP address range for data access

Data Lake Storage Gen1 では、データ ストアへのアクセスをネットワーク レベルでさらにロック ダウンできます。Data Lake Storage Gen1 enables you to further lock down access to your data store at network level. 信頼されたクライアントに対して、ファイアウォールを有効にし、IP アドレスを指定し、IP アドレス範囲を定義することができます。You can enable firewall, specify an IP address, or define an IP address range for your trusted clients. ファイアウォールが有効になると、IP アドレスが定義済みの範囲内にあるクライアントだけがストアに接続できます。Once enabled, only clients that have the IP addresses within defined range can connect to the store.

ファイアウォール設定と IP アクセスFirewall settings and IP access

Data Lake Storage Gen1 アカウントのセキュリティ グループを削除するRemove security groups for a Data Lake Storage Gen1 account

Data Lake Storage Gen1 アカウントからセキュリティ グループを削除する場合は、Azure portal と Azure Resource Manager API を使用して、アカウントに関する管理操作へのアクセスを変更するだけです。When you remove security groups from Data Lake Storage Gen1 accounts, you are only changing access to the management operations on the account using the Azure Portal and Azure Resource Manager APIs.

データへのアクセスは変更されず、アクセス ACL によって引き続き管理されます。Access to data is unchanged and is still managed by the access ACLs. この例外は、所有者ロールのユーザー/グループです。The exception to this are users/groups in the Owners role. 所有者ロールから削除されたユーザー/グループはスーパー ユーザーではなくなり、アクセスはアクセス ACL の設定に戻されます。Users/groups removed from the Owners role are no longer super users and their access falls back to access ACL settings.

  1. Data Lake Storage Gen1 アカウントのブレードで、[アクセス制御 (IAM)] をクリックします。In your Data Lake Storage Gen1 account blade, click Access Control (IAM).

    セキュリティ グループを Data Lake Storage Gen1 アカウントに割り当てるAssign security group to Data Lake Storage Gen1 account

  2. [アクセス制御 (IAM)] ブレードで、削除するセキュリティ グループをクリックします。In the Access Control (IAM) blade, click the security group(s) you want to remove. [削除] をクリックします。Click Remove.

    削除されたセキュリティ グループSecurity group removed

Data Lake Storage Gen1 ファイル システムからセキュリティ グループ ACL を削除するRemove security group ACLs from a Data Lake Storage Gen1 file system

Data Lake Storage Gen1 ファイル システムからセキュリティ グループの ACL を削除する場合は、Data Lake Storage Gen1 アカウント内のデータへのアクセスを変更します。When you remove security group ACLs from a Data Lake Storage Gen1 file system, you change access to the data in the Data Lake Storage Gen1 account.

  1. Data Lake Storage Gen1 アカウントのブレードで、[データ エクスプローラー] をクリックします。In your Data Lake Storage Gen1 account blade, click Data Explorer.

    Data Lake Storage Gen1 アカウントにディレクトリを作成するCreate directories in Data Lake Storage Gen1 account

  2. [データ エクスプローラー] ブレードで、ACL を削除するフォルダーをクリックし、[アクセス] をクリックします。In the Data Explorer blade, click the folder for which you want to remove the ACL, and then click Access. ファイルの ACL を削除するには、まず、対象のファイルをクリックしてプレビューし、[ファイルのプレビュー] ブレードで [アクセス] をクリックする必要があります。To remove ACLs for a file, you must first click the file to preview it and then click Access from the File Preview blade.

    Data Lake Storage Gen1 ファイル システムに ACL を設定するSet ACLs on Data Lake Storage Gen1 file system

  3. [アクセス] ブレードで、削除するセキュリティ グループをクリックします。In the Access blade, click the security group you want to remove. [アクセスの詳細] ブレードで [削除] をクリックします。In the Access details blade, click Remove.

    グループにアクセス許可を割り当てるAssign permissions to group

関連項目See also