Защита данных, хранимых в Azure Data Lake Storage 1-го поколения

Для защиты данных, хранимых в Azure Data Lake Storage 1-го поколения, необходимо выполнить три шага. Как управление доступом на основе ролей Azure (Azure RBAC), так и списки управления доступом (ACL) должны быть настроены таким образом, чтобы полностью разрешить доступ к данным для пользователей и групп безопасности.

1. Начните с создания групп безопасности в Microsoft Entra ID. Эти группы безопасности используются для реализации управления доступом на основе ролей (Azure RBAC) на портале Azure.
2. Назначьте Microsoft Entra группы безопасности учетной записи Data Lake Storage 1-го поколения. Это позволит контролировать доступ к учетной записи Data Lake Storage 1-го поколения с портала и операции управления с портала или через API-интерфейсы.
3. Назначьте Microsoft Entra группы безопасности в качестве списков управления доступом (ACL) в файловой системе Data Lake Storage 1-го поколения.
4. Кроме того, вы также можете задать диапазон IP-адресов для клиентов с доступом к данным в Data Lake Storage 1-го поколения.

В этой статье представлены инструкции по использованию портала Azure для выполнения указанных выше задач. Подробные сведения о реализации безопасности на уровне учетной записи и данных в Data Lake Storage 1-го поколения см. в статье Обеспечение безопасности в Azure Data Lake Storage 1-го поколения. Подробные сведения о реализации списков ACL в Data Lake Storage 1-го поколения см. в статье Обзор контроля доступа в Data Lake Storage 1-го поколения.

Предварительные требования

Перед началом работы с этим учебником необходимо иметь следующее:

• Подписка Azure. См. страницу бесплатной пробной версии Azure.
• Учетная запись Data Lake Storage 1-го поколения. За инструкциями по созданию учетной записи обращайтесь к статье Начало работы с Azure Data Lake Storage 1-го поколения.

Создание групп безопасности в Microsoft Entra ID

Инструкции по созданию групп безопасности Microsoft Entra и добавлению пользователей в группу см. в статье Управление группами безопасности в Microsoft Entra ID.

Примечание

Вы можете добавить пользователей и другие группы в группу в Microsoft Entra ID с помощью портал Azure. Однако чтобы добавить субъект-службу в группу, используйте модуль PowerShell Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Назначение пользователей или групп безопасности учетным записям Data Lake Storage 1-го поколения

При назначении пользователей или групп безопасности учетной записи Data Lake Storage 1-го поколения вы контролируете доступ к операциям управления в учетной записи с помощью портала Azure и API Azure Resource Manager Azure.

1. Откройте учетную запись Data Lake Storage 1-го поколения. На левой панели щелкните Все ресурсы, а затем в колонке "Все ресурсы" щелкните имя учетной записи, которой вы хотите назначить пользователя или группу безопасности.

2. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Управление доступом (IAM). В колонке по умолчанию перечисляются владельцы подписки под заголовком "Владелец".

   поколения

3. В колонке Управление доступом (IAM) нажмите кнопку Добавить, чтобы открыть колонку Добавить разрешения. В колонке Добавить разрешения выберите роль пользователя или группы. Найдите созданную ранее группу безопасности в Microsoft Entra ID и выберите ее. Если у вас много пользователей и групп, среди которых нужно проводить поиск, воспользуйтесь текстовым полем Выбрать, чтобы отфильтровать список по названию группы.

   

   Роли Владелец и Участник предоставляют доступ ко множеству функций администрирования учетной записи Data Lake. Пользователей, которые будут работать с данными в озере данных, но одновременно нуждаются в информации об учетной записи, можно добавить к роли Читатель. Область этих ролей ограничена операциями управления, относящимися к учетной записи Data Lake Storage 1-го поколения.

   Разрешения отдельной файловой системы определяют, какие операции с данными могут выполнять пользователи. Таким образом, пользователь с ролью «Читатель» может только просматривать параметры администрирования, связанные с учетной записью, но потенциально может считывать и записывать данные в зависимости от назначенных ему разрешений файловой системы. Разрешения файловой системы Data Lake Storage 1-го поколения описаны в разделе Назначение группы безопасности в виде ACL в файловой системе Data Lake Storage 1-го поколения.

   Важно!

   Только роль Владелец дает автоматический доступ к файловой системе. Для получения любого уровня доступа к папкам и файлам роли Участник и Читатель, а также все остальные, требуют включения пользователя в список управления доступом. Роль Владелец предоставляет права суперпользователя на доступ к файлам и папкам, которые не могут быть переопределены через ACL. Дополнительные сведения о том, как политики Azure RBAC сопоставляются с доступом к данным, см. в разделе Azure RBAC для управления учетными записями.

4. Если нужно добавить группу или пользователя, не указанные в колонке Добавить разрешения, можно пригласить их, вписав их адрес электронной почты в текстовое поле Выбрать и выбрав их из списка.

   

5. Нажмите Сохранить. Вы увидите группы безопасности, как показано ниже.

   

6. У пользователя или группы безопасности теперь есть доступ к учетной записи Data Lake Storage 1-го поколения. Если вы хотите предоставить доступ конкретным пользователям, их можно добавить в группу безопасности. Аналогично, если требуется отменить доступ для пользователя, его можно удалить из группы безопасности. Можно также назначить несколько групп безопасности для учетной записи.

Назначение пользователей или групп безопасности в виде списка контроля доступа в файловой системе Data Lake Storage 1-го поколения

Назначая пользователя или группы безопасности в файловой системе Data Lake Storage 1-го поколения, вы устанавливаете контроль доступа к данным, хранимым в Data Lake Storage 1-го поколения.

1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

   

2. В колонке Обозреватель данных выберите папку, для которой нужно настроить список управления доступом, а затем нажмите кнопку Доступ. Чтобы назначить списки управления доступом для файла, выберите файл для предварительного просмотра и щелкните Доступ из колонки Предварительный просмотр файла.

   

3. В колонке Доступ перечислены владельцы и назначенные им права доступа, которые уже назначены администратору. Нажмите кнопку Добавить, чтобы добавить дополнительные списки ACL для доступа.

   Важно!

   При настройке прав доступа к одному файлу пользователю или группе не обязательно предоставляются права доступа к этому файлу. Необходимо также обеспечить доступность пути к файлу для этого пользователя или группы. Дополнительные сведения и примеры см. в разделе Типовые сценарии при работе с разрешениями.

   

   • Владельцы и Все остальные — доступ в стиле UNIX, согласно которому права на чтение, запись и выполнение (rwx) указываются для трех различных классов пользователей: владелец, группа и другие.

   • Назначенные разрешения соответствуют спискам управления доступом POSIX, в которых можно задать разрешения для конкретных именованных пользователей или групп, а не только для владельца файла или группы.

     Дополнительные сведения см. в разделе ACL HDFS. Дополнительные сведения о реализации списков управления доступом в контексте Data Lake Storage 1-го поколения см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

4. Щелкните значок Добавить, чтобы открыть колонку Назначение разрешений. В этой колонке щелкните Выбрать пользователя или группу, а затем в колонке Выбор пользователя или группы найдите созданную ранее группу безопасности в Microsoft Entra ID. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.

   

5. Нажмите кнопку Выберите разрешения, выберите разрешения, а также любой из вариантов назначения разрешений — рекурсивно или в виде ACL для доступа, ACL по умолчанию или обоих одновременно. Нажмите кнопку ОК.

   

   Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

6. После нажатия кнопки ОК в колонке Назначьте разрешения добавленная группа и связанные с ней разрешения будут перечислены в колонке Доступ.

   

   Важно!

   В текущей версии можно внести до 28 записей в список Назначенные разрешения. Если нужно добавить больше 28 пользователей, необходимо создать группы безопасности, добавить в них пользователей и предоставить доступ этим группам безопасности к учетной записи хранения Data Lake Storage 1-го поколения.

7. При необходимости можно также изменить права доступа уже после добавления группы. Снимите или установите флажок для каждого типа разрешений (чтение, запись, выполнение) в зависимости от того, нужно ли удалить или назначить разрешение для группы безопасности. Щелкните Сохранить, чтобы сохранить изменения, или Отменить для их отмены.

Назначение диапазона IP-адресов для доступа к данным

Data Lake Storage 1-го поколения позволяет дополнительно блокировать доступ к хранилищу данных на уровне сети. Вы можете включить брандмауэр, указать IP-адрес или определить диапазон IP-адресов для доверенных клиентов. После включения брандмауэра к хранилищу смогут подключаться только клиенты с IP-адресами из определенного диапазона.

Удаление групп безопасности из учетной записи Data Lake Storage 1-го поколения

При удалении групп безопасности из учетных записей Data Lake Storage 1-го поколения вы изменяете только доступ к операциям управления в учетной записи с помощью портала Azure и API-интерфейсов Azure Resource Manager.

Права доступа к данным не меняются и по-прежнему управляются ACL. Исключением являются пользователи и группы с ролью владельцев. Пользователи и группы, удаленные из роли "Владельцы", больше не являются суперпользователями и их права доступа ограничиваются правами, предоставляемыми списком управления доступом.

1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Управление доступом (IAM).

   

2. В колонке Управление доступом (IAM) выберите группы безопасности, которые требуется удалить. Щелкните Удалить.

   

Удаление ACL группы безопасности из файловой системы Data Lake Storage 1-го поколения

При удалении списка контроля доступа группы безопасности из файловой системы Data Lake Storage 1-го поколения вы меняете права доступа к данным в учетной записи Data Lake Storage 1-го поколения.

1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

   

2. В колонке Обозреватель данных выберите папку, для которой нужно удалить список управления доступом, а затем нажмите кнопку Доступ. Для удаления списка управления доступом, созданного для файла, выберите файл для предварительного просмотра и нажмите кнопку Доступ в колонке Предварительный просмотр файла.

   

3. В колонке Доступ выберите группу безопасности, которую необходимо удалить. В колонке Сведения о доступе щелкните Удалить.

   

См. также раздел

• Общие сведения об Azure Data Lake Storage Gen1
• Копирование данных из больших двоичных объектов хранилища Azure в хранилище озера данных
• Начало работы с Azure Data Lake Analytics с помощью портала Azure
• Создание кластеров HDInsight, использующих Data Lake Store, с помощью портала Azure
• Начало работы с Data Lake Storage 1-го поколения с помощью PowerShell
• Начало работы с Data Lake Storage 1-го поколения с помощью пакета SDK для .NET
• Доступ к журналам диагностики Data Lake Storage 1-го поколения