Использование обозревателя службы хранилища Microsoft Azure для управления списками ACL в Azure Data Lake Storage 2-го поколения

  • Статья

В этой статье показано, как использовать Обозреватель службы хранилища Azure для управления списками управления доступом (ACL) в учетных записях хранения с включенным иерархическим пространством имен (HNS).

Обозреватель службы хранилища можно использовать для просмотра и последующего обновления списков управления доступом (ACL) к каталогам и файлам. Наследование ACL уже доступно для новых дочерних элементов, созданных в родительском каталоге. Кроме того, параметры ACL также можно рекурсивно применить к существующим дочерним элементам родительского каталога без необходимости вносить эти изменения отдельно для каждого дочернего элемента.

В этой статье показано, как изменить список ACL для файла или каталога, а также как рекурсивно применить параметры ACL к дочерним каталогам.

Необходимые компоненты

  • Подписка Azure. См. страницу бесплатной пробной версии Azure.

  • В учетной записи хранения включено иерархическое пространство имен. Выполните эти инструкции, чтобы создать учетную запись.

  • Обозреватель службы хранилища Azure, установленный на локальном компьютере. Чтобы установить Обозреватель службы хранилища Azure для Windows, Macintosh или Linux, см. раздел Обозреватель хранилищ Azure.

  • Вам нужно иметь одно из следующих разрешений безопасности:

    • Удостоверение пользователя было назначено роль владельца данных BLOB-объектов служба хранилища в область целевого контейнера, учетной записи хранения, родительской группы ресурсов или подписки.

    • Вы являетесь владельцем целевого контейнера, каталога или большого двоичного объекта, к которому планируется применить параметры ACL.

Примечание.

При работе с Azure Data Lake Storage 2-го поколения Обозреватель службы хранилища использует конечные точки как BLOB-объектов (BLOB), так и Data Lake Storage 2-го поколения (DFS). Если доступ к Azure Data Lake Storage 2-го поколения настроен с помощью частных конечных точек, убедитесь, что для учетной записи хранения созданы две частные конечные точки: одна с целевым подресурсом blob, а другая с целевым подресурсом dfs.

Вход в Обозреватель службы хранилища

При первом запуске Обозревателя службы хранилища Microsoft Azure появляется окно Подключения к хранилищу Azure. Хотя Обозреватель службы хранилища предоставляет несколько способов подключения к учетным записям хранения, в настоящее время поддерживается только один из способов управления ACL.

На панели Выбор ресурсов выберите Подписка.

Screenshot that shows the Microsoft Azure Storage Explorer - Select Resource pane

На панели Выбор среды Azure выберите среду Azure для входа. Вы можете войти в глобальный экземпляр Azure, в национальное облако или в экземпляр Azure Stack. Затем выберите Далее.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Select Azure Environment option.

Обозреватель службы хранилища откроется веб-страница для входа.

После успешного входа с помощью учетной записи Azure учетная запись и подписки Azure, связанные с ней, появятся в разделе УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ. Выберите подписки Azure, с которыми вы собираетесь работать, а затем щелкните Открыть обозреватель.

Screenshot that shows Microsoft Azure Storage Explorer, and highlights the Account Management pane and Open Explorer button.

После подключения загружается обозреватель службы хранилища Azure с вкладкой Обозреватель. В этом представлении вы можете просматривать сведения обо всех учетных записях хранения Azure, а также о локальном хранилище, настроенном с помощью учетных записей эмулятора службы хранилища Azure или сред Azure Stack.

Microsoft Azure Storage Explorer - Connect window

Управление ACL

Щелкните правой кнопкой мыши контейнер, каталог или файл, а затем выберите пункт "Управление контроль доступа списками". На следующем снимке экрана показано меню, отображаемое при щелчке правой кнопкой мыши по каталогу.

Right-clicking a directory in Azure Storage Explorer

В диалоговом окне Управление доступом можно управлять разрешениями для владельца и группы владельцев. Здесь также можно добавить в список управления доступом новых пользователей и группы, для которых затем можно управлять разрешениями.

Manage Access dialog box

Для добавления нового пользователя или группы в список управления доступом нажмите кнопку Добавить. Затем введите соответствующую запись Microsoft Entra, которую вы хотите добавить в список, а затем нажмите кнопку "Добавить". После этого пользователь или группа будет отображаться в поле Пользователи и группы:, позволяя вам начать управление их разрешениями.

Примечание.

Рекомендуется создать группу безопасности в идентификаторе Microsoft Entra и сохранить разрешения для группы, а не отдельных пользователей. Дополнительные сведения об этой рекомендации, а также другие советы и рекомендации см. в статье Модель управления доступом в Azure Data Lake Storage 2-го поколения.

Используйте флажки, чтобы задать списки ACL для доступа и по умолчанию. Дополнительные сведения о различиях между этими типами списков ACL см. в разделе Типы списков ACL.

Рекурсивное применение ACL

Записи ACL можно рекурсивно применить к существующим дочерним элементам родительского каталога без необходимости вносить эти изменения отдельно для каждого дочернего элемента.

Чтобы применить записи ACL рекурсивно, щелкните правой кнопкой мыши контейнер или каталог, а затем выберите "Распространить контроль доступа списки". На следующем снимке экрана показано меню, отображаемое при щелчке правой кнопкой мыши по каталогу.

Примечание.

Параметр "Распространение контроль доступа списков" доступен только в Обозреватель службы хранилища версии 1.28.1 или более поздней версии.

Right-clicking a directory and choosing the propagate access control setting

Следующие шаги

Узнайте о модели разрешений Data Lake Storage 2-го поколения.

Модель управления доступом в Azure Data Lake Storage 2-го поколения