Protegendo Dados Armazenados no Armazenamento de Data Lake do Azure Gen1

  • Artigo

A proteção de dados no Azure Data Lake Storage Gen1 é uma abordagem em três etapas. Tanto o RBAC do Azure (controle de acesso baseado em regra do Azure) quanto ACLs (listas de controle de acesso) devem ser definidos para possibilitar o acesso completo a dados para usuários e grupos de segurança.

  1. Comece criando grupos de segurança no Microsoft Entra ID. Esses grupos de segurança são usados para implementar o RBAC do Azure (controle de acesso baseado em função do Azure) no portal do Azure.
  2. Atribua os grupos de segurança Microsoft Entra à conta Data Lake Storage Gen1. Isso controla o acesso à conta do Data Lake Storage Gen1 do portal e das operações de gerenciamento do portal ou das APIs.
  3. Atribua os grupos de segurança Microsoft Entra como ACLs (listas de controle de acesso) no sistema de arquivos Data Lake Storage Gen1.
  4. Além disso, você também pode definir um intervalo de endereços IP para clientes que possam acessar os dados no Data Lake Storage Gen1.

Este artigo fornece instruções sobre como usar o Portal do Azure para realizar as tarefas acima. Para obter informações detalhadas sobre como o Data Lake Storage Gen1 implementa a segurança no nível da conta e dos dados, consulte Segurança no armazenamento de dados do Lake Azure no Gen1. Para obter informações detalhadas sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte Visão geral do controle de acesso no Data Lake Storage Gen1.

Pré-requisitos

Antes de começar este tutorial, você deve ter o seguinte:

Criar grupos de segurança no Microsoft Entra ID

Para obter instruções sobre como criar Microsoft Entra grupos de segurança e como adicionar usuários ao grupo, consulte Gerenciando grupos de segurança em Microsoft Entra ID.

Observação

Você pode adicionar usuários e outros grupos a um grupo em Microsoft Entra ID usando o portal do Azure. No entanto, para adicionar uma entidade de serviço a um grupo, use o módulo do PowerShell do Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Atribuir usuários ou grupos de segurança a contas do Data Lake Storage Gen1

Quando você atribui usuários ou grupos de segurança a contas do Data Lake Storage Gen1, controla o acesso às operações de gerenciamento na conta usando o portal do Azure e as APIs do Azure Resource Manager.

  1. Abra uma conta do Data Lake Storage Gen1. No painel esquerdo, clique em Todos os recursos, e depois, na folha Todos os recursos, clique no nome da conta sob a qual você deseja criar um usuário ou grupo de segurança.

  2. Na folha de conta do Data Lake Storage Gen1, clique em Access Control (IAM). Por padrão, a folha lista os proprietários de assinatura como o proprietário.

    Atribuir o grupo de segurança à conta do Azure Data Lake Storage Gen1

  3. Na folha do Controle de Acesso (IAM), clique em Adicionar para abrir a folha Adicionar permissões. Na folha Adicionar permissões, selecione um Função para o usuário/grupo. Procure o grupo de segurança criado anteriormente no Microsoft Entra ID e selecione-o. Se houver muitos usuários e grupos a sua pesquisa, use a caixa de texto Selecionar na parte superior para filtrar pelo nome do grupo.

    Adicionar uma função para o usuário

    As funções Proprietário e Colaborador fornecem acesso a várias funções de administração da conta do Data Lake. Para usuários que irão interagir com dados no lago de dados, mas ainda precisa exibir informações de gerenciamento de conta, você pode adicioná-los à função do Leitor. O escopo dessas funções é limitado às operações de gerenciamento relacionadas à conta do Data Lake armazenamento Gen1.

    Para as operações de dados, as permissões do sistema de arquivos individual definem o que os usuários podem fazer. Portanto, um usuário com uma função de Leitor pode exibir somente as configurações administrativas associadas à conta, mas possivelmente pode ler e gravar dados com base nas permissões de sistema de arquivo atribuídas a ele. As permissões do sistema de arquivos Data Lake Storage Gen1 são descritas em Atribuir grupo de segurança como ACLs ao sistema de arquivos do Azure Data Lake Storage Gen1.

    Importante

    Somente a função do Proprietário automaticamente habilita o acesso de sistema de arquivos. O Colaborador, Leitor, e todas as outras funções exigem ACLs para permitir qualquer nível de acesso a arquivos e pastas. A função do Proprietário fornece arquivo de superusuário e permissões que não podem ser substituídas via ACLs. Para obter mais informações sobre como as políticas RBAC do Azure são mapeadas para acesso a dados, confira RBAC do Azure para gerenciamento de conta.

  4. Se você deseja adicionar um grupo/usuário não listado na folha Adicionar permissões, você pode convidá-los digitando seu endereço de email na caixa de texto Selecionar, e em seguida, selecione-os na lista.

    Adicionar um grupo de segurança

  5. Clique em Salvar. O grupo de segurança deve ter sido adicionado, como exibido abaixo.

    Grupo de segurança adicionado

  6. Seu grupo de segurança do usuário agora tem acesso à conta do Data Lake armazenamento Gen1. Se você quiser fornecer acesso a usuários específicos, adicione-os ao grupo de segurança. Da mesma forma, se você quiser revogar o acesso de um usuário, remova-o do grupo de segurança. Também é possível atribuir vários grupos de segurança a uma conta.

Atribuir usuários ou grupos de segurança como ACLs ao sistema de arquivos Data Lake Storage Gen1

Ao atribuir grupos de usuários / segurança ao sistema de arquivos do Data Lake Storage Gen1, você define o controle de acesso nos dados armazenados no Data Lake Storage Gen1.

  1. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Exibir dados por meio do Data Explorer

  2. Na folha Data Explorer, clique na pasta para o qual você deseja configurar a ACL e, em seguida, clique em Acessar. Para atribuir as ACLs em um arquivo, primeiro você clique no arquivo para visualizá-lo e, em seguida, clique em Acesso da folha Exibição de arquivo.

    Definir ACLs no sistema de arquivos do Data Lake Storage Gen1

  3. A folha de Acesso lista os proprietários e permissões já atribuído para a raiz. Clique no ícone Adicionar para adicionar ACLs de Acesso.

    Importante

    Configuração das permissões de acesso para um único arquivo necessariamente não concede um acesso de usuário/grupo a esse arquivo. O caminho para o arquivo deve estar acessível para o usuário/grupo atribuído. Para obter mais informações e exemplos, consulte Cenários comuns relacionados às permissões.

    Listar acesso padrão e personalizado

    • Os Proprietários e Ouras pessoas fornecem acesso ao estilo UNIX, no qual você especifica leitura, gravação e execução (rwx) a três classes de usuário distintas: proprietário, grupo e outros.

    • Permissões atribuídas correspondem às ACLs POSIX e permite a definição de permissões para usuários ou grupos nomeados específicos, além do proprietário do arquivo ou grupo.

      Para saber mais, consulte ACLs HDFS. Para obter mais informações sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte Access Control no Data Lake Storage Gen1.

  4. Clique no ícone Adicionar para abrir a folha Atribuir permissões. Nesta folha, clique em Selecionar usuário ou grupo e, em seguida, na folha Selecionar usuário ou grupo, procure o grupo de segurança criado anteriormente no Microsoft Entra ID. Se houver muitos grupos para sua pesquisa, use a caixa de texto na parte superior para filtrar pelo nome do grupo. Clique no grupo que você deseja adicionar e clique em Selecionar.

    Adicionar um grupo

  5. Clique em Selecionar Permissões, selecione as permissões, todas as permissões devem ser aplicadas recursivamente, e sempre que você quiser atribuir as permissões como um ACL de acesso, ACL padrão ou ambos. Clique em OK.

    Captura de tela da folha Atribuir permissões com a opção Selecionar permissões em destaque e a folha Selecionar permissões com a opção Ok em destaque.

    Para obter mais informações sobre permissões no Data Lake armazenamento Gen1 e ACLs de acesso/padrão, consulte controle de acesso no Data Lake armazenamento Gen1.

  6. Depois de clicar em Ok na folha Selecionar permissões, o grupo recém-adicionado e permissões associadas agora estarão listadas na folha Acesso.

    Captura de tela da folha Acesso com a opção Engenharia de Dados em destaque.

    Importante

    Na versão atual, você pode ter até 28 entradas em Permissões atribuídas. Se você quiser adicionar mais de 28 usuários, deverá criar grupos de segurança, adicionar usuários a grupos de segurança, adicionar acesso a esses grupos de segurança para a conta do Data Lake Storage Gen1.

  7. Se for necessário, também é possível modificar as permissões de acesso depois de adicionar o grupo. Marque ou desmarque a caixa de seleção de cada tipo de permissão (Leitura, Gravação, Execução) com base em seu desejo de remover ou atribuir essa permissão ao grupo de segurança. Clique em Salvar para salvar as alterações ou em Descartar para desfazer as alterações.

Definir o intervalo de endereços IP para acesso a dados

O Data Lake Storage Gen1 permite bloquear ainda mais o acesso ao seu armazenamento de dados no nível da rede. Você pode habilitar o firewall e definir um intervalo de endereços IP para seus clientes confiáveis. Uma vez habilitado, somente os clientes com os endereços IP no intervalo definido poderão conectar o repositório.

Configurações de firewall e acesso IP

Remover grupos de segurança para uma conta do Data Lake Storage Gen1

Quando você remove grupos de segurança das contas do Data Lake Storage Gen1, só está alterando o acesso às operações de gerenciamento na conta usando as APIs do portal do Azure e do Azure Resource Manager.

O acesso a dados é alterado e ainda é gerenciado pelo acesso de ACLs. A exceção a isso são os usuários/grupos na função Proprietários. Usuários/grupos não são mais superusuários e seu acesso voltará para acessar configurações de ACL.

  1. Na folha de conta do Data Lake Storage Gen1, clique em Access Control (IAM).

    Atribuir grupo de segurança à conta do Data Lake Storage Gen1

  2. Na folha Controle de Acesso (IAM), clique no grupo de segurança que você deseja remover. Clique em Remover.

    Grupo de segurança removido

Remover as ACLs do grupo de segurança de um sistema de arquivos Data Lake Storage Gen1

Quando você remove as ACLs do grupo de segurança de um sistema de arquivos do Data Lake Storage Gen1, altera o acesso aos dados na conta do Data Lake Storage Gen1.

  1. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  2. Na folha Data Explorer, clique na pasta para o qual você deseja remover a ACL e, em seguida, clique em Acessar. Para remover as ACLs em um arquivo, primeiro você clique no arquivo para visualizá-lo e, em seguida, clique em Acesso da folha Exibição de arquivo.

    Definir ACLs no sistema de arquivos do Data Lake Storage Gen1

  3. Na folha Acesso, clique no grupo de segurança que você deseja remover. Na folha Acessar detalhes, clique em Remover.

    Captura de tela da folha Acesso com a opção Engenharia de Dados em destaque e a folha Detalhes de acesso com a opção Remover em destaque.

Confira também