Securing data stored in Azure Data Lake Storage Gen1 (Zabezpieczanie danych przechowywanych w usłudze Azure Data Lake Storage Gen1)

Zabezpieczanie danych w usłudze Azure Data Lake Storage Gen1 to trzyetapowe podejście. Zarówno kontrola dostępu oparta na rolach (RBAC) platformy Azure, jak i listy kontroli dostępu (ACL) na platformie Azure muszą być ustawione tak, aby w pełni umożliwić dostęp do danych dla użytkowników i grup zabezpieczeń.

  1. Zacznij od utworzenia grup zabezpieczeń w usłudze Azure Active Directory (Azure AD). Te grupy zabezpieczeń są używane do implementowania kontroli dostępu opartej na rolach (RBAC) platformy Azure w Azure Portal. Aby uzyskać więcej informacji, zobacz Kontrola RBAC platformy Azure.
  2. Przypisz grupy zabezpieczeń usługi Azure AD do konta Data Lake Storage Gen1. Umożliwia to sterowanie dostępem do konta Data Lake Storage Gen1 z poziomu portalu i operacji zarządzania z poziomu portalu lub interfejsów API.
  3. Przypisz grupy zabezpieczeń usługi Azure AD jako listy kontroli dostępu (ACL) w systemie plików Data Lake Storage Gen1.
  4. Ponadto można również ustawić zakres adresów IP dla klientów, którzy mogą uzyskiwać dostęp do danych w Data Lake Storage Gen1.

Ten artykuł zawiera instrukcje dotyczące używania Azure Portal do wykonywania powyższych zadań. Aby uzyskać szczegółowe informacje na temat sposobu Data Lake Storage Gen1 implementowania zabezpieczeń na poziomie konta i danych, zobacz Zabezpieczenia w usłudze Azure Data Lake Storage Gen1. Aby uzyskać szczegółowe informacje na temat wdrażania list ACL w Data Lake Storage Gen1, zobacz Omówienie Access Control w Data Lake Storage Gen1.

Wymagania wstępne

Przed przystąpieniem do wykonania kroków opisanych w tym samouczku należy dysponować następującymi elementami:

Tworzenie grup zabezpieczeń w Azure Active Directory

Aby uzyskać instrukcje dotyczące tworzenia grup zabezpieczeń usługi Azure AD i dodawania użytkowników do grupy, zobacz Zarządzanie grupami zabezpieczeń w Azure Active Directory.

Uwaga

Możesz dodać zarówno użytkowników, jak i inne grupy do grupy w usłudze Azure AD przy użyciu Azure Portal. Jednak w celu dodania jednostki usługi do grupy użyj modułu PowerShell usługi Azure AD.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Przypisywanie użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1

Podczas przypisywania użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1 można kontrolować dostęp do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

  1. Otwórz konto Data Lake Storage Gen1. W okienku po lewej stronie kliknij pozycję Wszystkie zasoby, a następnie w bloku Wszystkie zasoby kliknij nazwę konta, do którego chcesz przypisać użytkownika lub grupę zabezpieczeń.

  2. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami). Blok domyślnie wyświetla listę właścicieli subskrypcji jako właściciela.

    Assign security group to Azure Data Lake Storage Gen1 account

  3. W bloku Access Control (IAM) kliknij przycisk Dodaj, aby otworzyć blok Dodaj uprawnienia. W bloku Dodawanie uprawnień wybierz rolę użytkownika/grupy. Wyszukaj utworzoną wcześniej grupę zabezpieczeń w Azure Active Directory i wybierz ją. Jeśli masz wielu użytkowników i grup do wyszukania, użyj pola tekstowego Wybierz , aby filtrować nazwę grupy.

    Add a role for the user

    Rola Właściciel i Współautor zapewniają dostęp do różnych funkcji administracyjnych na koncie usługi Data Lake. W przypadku użytkowników, którzy będą wchodzić w interakcje z danymi w usłudze Data Lake, ale nadal muszą wyświetlać informacje o zarządzaniu kontami, możesz dodać je do roli Czytelnik . Zakres tych ról jest ograniczony do operacji zarządzania związanych z kontem Data Lake Storage Gen1.

    W przypadku operacji na danych poszczególne uprawnienia systemu plików określają, co użytkownicy mogą zrobić. W związku z tym użytkownik mający rolę Czytelnik może wyświetlać tylko ustawienia administracyjne skojarzone z kontem, ale może potencjalnie odczytywać i zapisywać dane na podstawie przypisanych uprawnień systemu plików. Data Lake Storage Gen1 uprawnienia systemu plików opisano w artykule Przypisywanie grupy zabezpieczeń jako list ACL do systemu plików Azure Data Lake Storage Gen1.

    Ważne

    Tylko rola Właściciel automatycznie włącza dostęp do systemu plików. Współautor, Czytelnik i wszystkie inne role wymagają list ACL w celu włączenia dowolnego poziomu dostępu do folderów i plików. Rola Właściciel zapewnia uprawnienia do plików i folderów administratora, których nie można zastąpić za pośrednictwem list ACL. Aby uzyskać więcej informacji na temat mapowania zasad RBAC platformy Azure na dostęp do danych, zobacz Kontrola RBAC platformy Azure na potrzeby zarządzania kontami.

  4. Jeśli chcesz dodać grupę/użytkownika, która nie znajduje się na liście w bloku Dodaj uprawnienia , możesz zaprosić je, wpisując swój adres e-mail w polu tekstowym Wybierz , a następnie wybierając je z listy.

    Add a security group

  5. Kliknij pozycję Zapisz. Powinna zostać wyświetlona dodana grupa zabezpieczeń, jak pokazano poniżej.

    Security group added

  6. Użytkownik/grupa zabezpieczeń ma teraz dostęp do konta Data Lake Storage Gen1. Jeśli chcesz zapewnić dostęp do określonych użytkowników, możesz dodać je do grupy zabezpieczeń. Podobnie, jeśli chcesz odwołać dostęp dla użytkownika, możesz je usunąć z grupy zabezpieczeń. Można również przypisać wiele grup zabezpieczeń do konta.

Przypisywanie użytkowników lub grup zabezpieczeń jako list ACL do systemu plików Data Lake Storage Gen1

Przypisując grupy użytkowników/zabezpieczeń do systemu plików Data Lake Storage Gen1, należy ustawić kontrolę dostępu na danych przechowywanych w Data Lake Storage Gen1.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

    View data via Data Explorer

  2. W bloku Data Explorer kliknij folder, dla którego chcesz skonfigurować listę ACL, a następnie kliknij pozycję Dostęp. Aby przypisać listy ACL do pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

    Set ACLs on Data Lake Storage Gen1 file system

  3. Blok Dostęp zawiera listę właścicieli i przypisane uprawnienia już przypisane do katalogu głównego. Kliknij ikonę Dodaj , aby dodać dodatkowe listy ACL dostępu.

    Ważne

    Ustawienie uprawnień dostępu dla pojedynczego pliku nie musi udzielać użytkownikowi/grupie dostępu do tego pliku. Ścieżka do pliku musi być dostępna dla przypisanego użytkownika/grupy. Aby uzyskać więcej informacji i przykładów, zobacz Typowe scenariusze związane z uprawnieniami.

    List standard and custom access

    • Właściciele i wszyscy inni zapewniają dostęp w stylu system UNIX, w którym określasz odczyt, zapis, wykonywanie (rwx) do trzech odrębnych klas użytkowników: właściciel, grupa i inne.

    • Przypisane uprawnienia odpowiadają listom ACL POSIX, które umożliwiają ustawianie uprawnień dla określonych nazwanych użytkowników lub grup poza właścicielem lub grupą pliku.

      Aby uzyskać więcej informacji, zobacz Listy ACL systemu plików HDFS. Aby uzyskać więcej informacji na temat wdrażania list ACL w Data Lake Storage Gen1, zobacz Access Control w Data Lake Storage Gen1.

  4. Kliknij ikonę Dodaj , aby otworzyć blok Przypisywanie uprawnień . W tym bloku kliknij pozycję Wybierz użytkownika lub grupę, a następnie w bloku Wybierz użytkownika lub grupę wyszukaj grupę zabezpieczeń utworzoną wcześniej w Azure Active Directory. Jeśli masz wiele grup do wyszukania, użyj pola tekstowego u góry, aby filtrować nazwę grupy. Kliknij grupę, którą chcesz dodać, a następnie kliknij pozycję Wybierz.

    Add a group

  5. Kliknij pozycję Wybierz uprawnienia, wybierz uprawnienia, niezależnie od tego, czy uprawnienia mają być stosowane cyklicznie, oraz czy chcesz przypisać uprawnienia jako listę ACL dostępu, domyślną listę ACL, czy oba te uprawnienia. Kliknij przycisk OK.

    Screenshot of the Assign permissions blade with the Select permissions option called out and the Select permissions blade with the Ok option called out.

    Aby uzyskać więcej informacji o uprawnieniach w Data Lake Storage Gen1 i listach ACL domyślnych/dostępu, zobacz Access Control w Data Lake Storage Gen1.

  6. Po kliknięciu przycisku OK w bloku Wybierz uprawnienia nowo dodana grupa i skojarzone uprawnienia będą teraz wyświetlane w bloku Dostęp .

    Screenshot of the Access blade with the Data Engineering option called out.

    Ważne

    W bieżącej wersji można mieć maksymalnie 28 wpisów w obszarze Przypisane uprawnienia. Jeśli chcesz dodać więcej niż 28 użytkowników, należy utworzyć grupy zabezpieczeń, dodać użytkowników do grup zabezpieczeń, dodać dostęp do tych grup zabezpieczeń dla konta Data Lake Storage Gen1.

  7. W razie potrzeby możesz również zmodyfikować uprawnienia dostępu po dodaniu grupy. Wyczyść lub zaznacz pole wyboru dla każdego typu uprawnień (odczyt, zapis, wykonywanie) na podstawie tego, czy chcesz usunąć lub przypisać to uprawnienie do grupy zabezpieczeń. Kliknij przycisk Zapisz , aby zapisać zmiany, lub odrzuć , aby cofnąć zmiany.

Ustawianie zakresu adresów IP na potrzeby dostępu do danych

Data Lake Storage Gen1 umożliwia dalsze blokowanie dostępu do magazynu danych na poziomie sieci. Zaporę można włączyć, określić adres IP lub zdefiniować zakres adresów IP dla zaufanych klientów. Po włączeniu tylko klienci, którzy mają adresy IP w zdefiniowanym zakresie, mogą łączyć się z magazynem.

Firewall settings and IP access

Usuwanie grup zabezpieczeń dla konta Data Lake Storage Gen1

Usunięcie grup zabezpieczeń z kont Data Lake Storage Gen1 spowoduje zmianę dostępu tylko do operacji zarządzania na koncie przy użyciu interfejsów API Azure Portal i Azure Resource Manager.

Dostęp do danych jest niezmieniony i nadal jest zarządzany przez listy ACL dostępu. Wyjątkiem są użytkownicy/grupy w roli Właściciele. Użytkownicy/grupy usunięte z roli Właściciele nie są już superu użytkowników, a ich dostęp wraca do ustawień listy ACL.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Access Control (Zarządzanie dostępem i tożsamościami).

    Assign security group to Data Lake Storage Gen1 account

  2. W bloku Access Control (IAM) kliknij grupy zabezpieczeń, które chcesz usunąć. Kliknij przycisk Usuń.

    Security group removed

Usuwanie list ACL grup zabezpieczeń z systemu plików Data Lake Storage Gen1

Usunięcie list ACL grupy zabezpieczeń z systemu plików Data Lake Storage Gen1 spowoduje zmianę dostępu do danych na koncie Data Lake Storage Gen1.

  1. W bloku konta Data Lake Storage Gen1 kliknij pozycję Data Explorer.

    Create directories in Data Lake Storage Gen1 account

  2. W bloku Data Explorer kliknij folder, dla którego chcesz usunąć listę ACL, a następnie kliknij pozycję Dostęp. Aby usunąć listy ACL dla pliku, należy najpierw kliknąć plik, aby go wyświetlić, a następnie kliknąć pozycję Dostęp w bloku Podgląd plików .

    Set ACLs on Data Lake Storage Gen1 file system

  3. W bloku Dostęp kliknij grupę zabezpieczeń, którą chcesz usunąć. W bloku Szczegóły dostępu kliknij pozycję Usuń.

    Screenshot of the Access blade with the Data Engineering option called out and the Access details blade with the Remove option called out.

Zobacz też