Azure Data Lake Storage 1. Nesil'de depolanan verilerin güvenliğini sağlamaSecuring data stored in Azure Data Lake Storage Gen1

Azure Data Lake Storage 1. içindeki verilerin güvenliğini sağlamak, üç adımlı bir yaklaşımdır.Securing data in Azure Data Lake Storage Gen1 is a three-step approach. Hem Azure rol tabanlı erişim denetimi (Azure RBAC) hem de erişim denetim listeleri (ACL 'Ler), kullanıcılar ve güvenlik grupları için verilere erişimi tam olarak etkinleştirecek şekilde ayarlanmalıdır.Both Azure role-based access control (Azure RBAC) and access control lists (ACLs) must be set to fully enable access to data for users and security groups.

  1. Azure Active Directory (Azure AD) içinde güvenlik grupları oluşturarak başlayın.Start by creating security groups in Azure Active Directory (Azure AD). Bu güvenlik grupları, Azure portal Azure rol tabanlı erişim denetimi (Azure RBAC) uygulamak için kullanılır.These security groups are used to implement Azure role-based access control (Azure RBAC) in the Azure portal. Daha fazla bilgi için bkz. Azure RBAC.For more information, see Azure RBAC.
  2. Data Lake Storage 1. hesabına Azure AD güvenlik grupları atayın.Assign the Azure AD security groups to the Data Lake Storage Gen1 account. Bu, portaldan veya API 'lerden yönetim işlemlerinden Data Lake Storage 1. hesabına erişimi denetler.This controls access to the Data Lake Storage Gen1 account from the portal and management operations from the portal or APIs.
  3. Azure AD güvenlik gruplarını Data Lake Storage 1. dosya sisteminde erişim denetim listeleri (ACL 'Ler) olarak atayın.Assign the Azure AD security groups as access control lists (ACLs) on the Data Lake Storage Gen1 file system.
  4. Ayrıca, Data Lake Storage 1. verilerine erişebilen istemciler için de bir IP adresi aralığı ayarlayabilirsiniz.Additionally, you can also set an IP address range for clients that can access the data in Data Lake Storage Gen1.

Bu makale, yukarıdaki görevleri gerçekleştirmek için Azure portal nasıl kullanılacağına ilişkin yönergeler sağlar.This article provides instructions on how to use the Azure portal to perform the above tasks. Data Lake Storage 1. hesap ve veri düzeyinde güvenliği nasıl uygulayan hakkında ayrıntılı bilgi için, bkz. Azure Data Lake Storage 1. güvenlik.For in-depth information on how Data Lake Storage Gen1 implements security at the account and data level, see Security in Azure Data Lake Storage Gen1. ACL 'Lerin Data Lake Storage 1. nasıl uygulandığı hakkında ayrıntılı bilgi için, bkz. Data Lake Storage 1. Access Control genel bakış.For deep-dive information on how ACLs are implemented in Data Lake Storage Gen1, see Overview of Access Control in Data Lake Storage Gen1.

Ön koşullarPrerequisites

Bu öğreticiye başlamadan önce aşağıdakilere sahip olmanız gerekir:Before you begin this tutorial, you must have the following:

Azure Active Directory 'de güvenlik grupları oluşturmaCreate security groups in Azure Active Directory

Azure AD güvenlik grupları oluşturma ve gruba kullanıcı ekleme hakkında yönergeler için, bkz. Azure Active Directory güvenlik gruplarını yönetme.For instructions on how to create Azure AD security groups and how to add users to the group, see Managing security groups in Azure Active Directory.

Not

Azure portal kullanarak, hem kullanıcıları hem de diğer grupları Azure AD 'deki bir gruba ekleyebilirsiniz.You can add both users and other groups to a group in Azure AD using the Azure portal. Bununla birlikte, bir gruba hizmet sorumlusu eklemek için Azure AD 'Nin PowerShell modülünükullanın.However, in order to add a service principal to a group, use Azure AD’s PowerShell module.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Data Lake Storage 1. hesaplara Kullanıcı veya güvenlik grupları atamaAssign users or security groups to Data Lake Storage Gen1 accounts

Data Lake Storage 1. hesaplara Kullanıcı veya güvenlik grupları atadığınızda, Azure portal ve Azure Resource Manager API 'Lerini kullanarak hesaptaki yönetim işlemlerine erişimi kontrol edersiniz.When you assign users or security groups to Data Lake Storage Gen1 accounts, you control access to the management operations on the account using the Azure portal and Azure Resource Manager APIs.

  1. Bir Data Lake Storage 1. hesabı açın.Open a Data Lake Storage Gen1 account. Sol bölmede tüm kaynaklar' a tıklayın ve ardından tüm kaynaklar dikey penceresinde, bir kullanıcı veya güvenlik grubu atamak istediğiniz hesap adına tıklayın.From the left pane, click All resources, and then from the All resources blade, click the account name to which you want to assign a user or security group.

  2. Data Lake Storage 1. hesabı dikey penceresinde Access Control (IAM) seçeneğine tıklayın.In your Data Lake Storage Gen1 account blade, click Access Control (IAM). Dikey pencere varsayılan olarak abonelik sahiplerini sahip olarak listeler.The blade by default lists the subscription owners as the owner.

    Azure Data Lake Storage 1. hesabına güvenlik grubu atamaAssign security group to Azure Data Lake Storage Gen1 account

  3. Access Control (IAM) dikey penceresinde Ekle ' ye tıklayarak izin Ekle dikey penceresini açın.In the Access Control (IAM) blade, click Add to open the Add permissions blade. Izin Ekle dikey penceresinde Kullanıcı/Grup Için bir rol seçin.In the Add permissions blade, select a Role for the user/group. Daha önce Azure Active Directory oluşturduğunuz güvenlik grubunu bulun ve seçin.Look for the security group you created earlier in Azure Active Directory and select it. Arama yapılacak çok sayıda kullanıcınız ve grubunuz varsa, Grup adını filtrelemek için Seç metin kutusunu kullanın.If you have a lot of users and groups to search from, use the Select text box to filter on the group name.

    Kullanıcı için bir rol eklemeAdd a role for the user

    Sahip ve katkıda bulunan rolü, Data Lake hesabındaki çeşitli yönetim işlevlerine erişim sağlar.The Owner and Contributor role provide access to a variety of administration functions on the data lake account. Data Lake 'taki verilerle etkileşimde bulunan ancak hala hesap yönetimi bilgilerini görüntülemesi gereken kullanıcılar için, bunları okuyucu rolüne ekleyebilirsiniz.For users who will interact with data in the data lake but still need to view account management information, you can add them to the Reader role. Bu rollerin kapsamı Data Lake Storage 1. hesabıyla ilgili yönetim işlemleriyle sınırlıdır.The scope of these roles is limited to the management operations related to the Data Lake Storage Gen1 account.

    Veri işlemleri için, bireysel dosya sistemi izinleri kullanıcıların neler yapabileceğini tanımlar.For data operations, individual file system permissions define what the users can do. Bu nedenle, okuyucu rolüne sahip bir Kullanıcı yalnızca hesapla ilişkili yönetim ayarlarını görüntüleyebilir, ancak bunlara atanan dosya sistemi izinlerine göre verileri okuyabilir ve yazabilir.Therefore, a user having a Reader role can only view administrative settings associated with the account but can potentially read and write data based on file system permissions assigned to them. Data Lake Storage 1. dosya sistemi izinleri , güvenlik grubunu, Azure Data Lake Storage 1. dosya sistemine ACL 'ler olarak atabölümünde açıklanmaktadır.Data Lake Storage Gen1 file system permissions are described at Assign security group as ACLs to the Azure Data Lake Storage Gen1 file system.

    Önemli

    Dosya sistemi erişimini yalnızca sahip rolü otomatik olarak etkinleştirilir.Only the Owner role automatically enables file system access. Katkıdabulunan, okuyucuve diğer tüm roller, klasörlere ve dosyalara erişim düzeyini etkinleştirmek için ACL 'ler gerektirir.The Contributor, Reader, and all other roles require ACLs to enable any level of access to folders and files. Sahip rolü, ACL 'ler aracılığıyla geçersiz kılınamayan Süper Kullanıcı dosya ve klasör izinleri sağlar.The Owner role provides super-user file and folder permissions that cannot be overridden via ACLs. Azure RBAC ilkelerinin veri erişimiyle nasıl eşlenme hakkında daha fazla bilgi için bkz. Hesap yönetimi Için Azure RBAC.For more information on how Azure RBAC policies map to data access, see Azure RBAC for account management.

  4. Izin Ekle dikey penceresinde listelenmeyen bir grup/kullanıcı eklemek istiyorsanız, bunları Seç metin kutusuna e-posta adresini yazarak ve ardından listeden seçerek davet edebilirsiniz.If you want to add a group/user that is not listed in the Add permissions blade, you can invite them by typing their email address in the Select text box and then selecting them from the list.

    Güvenlik grubu EkleAdd a security group

  5. Kaydet’e tıklayın.Click Save. Güvenlik grubunun aşağıda gösterildiği gibi eklendiğini görmeniz gerekir.You should see the security group added as shown below.

    Güvenlik grubu eklendiSecurity group added

  6. Kullanıcı/güvenlik grubunuzun Data Lake Storage 1. hesabına erişimi artık vardır.Your user/security group now has access to the Data Lake Storage Gen1 account. Belirli kullanıcılara erişim sağlamak istiyorsanız, bunları güvenlik grubuna ekleyebilirsiniz.If you want to provide access to specific users, you can add them to the security group. Benzer şekilde, bir kullanıcı için erişimi iptal etmek istiyorsanız onları güvenlik grubundan kaldırabilirsiniz.Similarly, if you want to revoke access for a user, you can remove them from the security group. Ayrıca, bir hesaba birden fazla güvenlik grubu atayabilirsiniz.You can also assign multiple security groups to an account.

Kullanıcıları veya güvenlik gruplarını Data Lake Storage 1. dosya sistemine ACL olarak atamaAssign users or security groups as ACLs to the Data Lake Storage Gen1 file system

Data Lake Storage 1. dosya sistemine Kullanıcı/güvenlik grupları atayarak, Data Lake Storage 1. depolanan verilerde erişim denetimi ayarlarsınız.By assigning user/security groups to the Data Lake Storage Gen1 file system, you set access control on the data stored in Data Lake Storage Gen1.

  1. Data Lake Storage 1. hesabı dikey penceresinde Veri Gezgini' e tıklayın.In your Data Lake Storage Gen1 account blade, click Data Explorer.

    Veri Gezgini aracılığıyla verileri görüntülemeView data via Data Explorer

  2. Veri Gezgini dikey PENCERESINDE, ACL 'yi yapılandırmak istediğiniz klasöre tıklayın ve ardından erişim' e tıklayın.In the Data Explorer blade, click the folder for which you want to configure the ACL, and then click Access. ACL 'Leri bir dosyaya atamak için, önce dosyayı önizlemeniz ve ardından dosya önizleme dikey penceresinden erişim ' e tıklamanız gerekir.To assign ACLs to a file, you must first click the file to preview it and then click Access from the File Preview blade.

    Data Lake Storage 1. dosya sisteminde ACL 'Leri ayarlaSet ACLs on Data Lake Storage Gen1 file system

  3. Erişim dikey penceresi, zaten köke atanmış olan sahipleri ve atanmış izinleri listeler.The Access blade lists the owners and assigned permissions already assigned to the root. Ek erişim ACL 'Leri eklemek için Ekle simgesine tıklayın.Click the Add icon to add additional Access ACLs.

    Önemli

    Tek bir dosya için erişim izinlerinin ayarlanması, bu dosyaya bir Kullanıcı/Grup erişimi vermelidir.Setting access permissions for a single file does not necessarily grant a user/group access to that file. Dosyanın yolu atanan kullanıcı/grup için erişilebilir olmalıdır.The path to the file must be accessible to the assigned user/group. Daha fazla bilgi ve örnek için bkz. izinlerle Ilgili yaygın senaryolar.For more information and examples, see Common scenarios related to permissions.

    Standart ve özel erişimi listeleyinList standard and custom access

    • Sahipler ve Herkes , okuma, yazma, yürütme (RWX) olarak üç farklı Kullanıcı sınıfına sahip olan UNIX stili erişim sağlar: sahip, Grup ve diğerleri.The Owners and Everyone else provide UNIX-style access, where you specify read, write, execute (rwx) to three distinct user classes: owner, group, and others.

    • Atanan izinler , dosyanın sahibi veya grubunun ötesinde belirli bir adlandırılmış Kullanıcı veya grup için izinleri ayarlamanıza olanak tanıyan POSIX ACL 'lerine karşılık gelir.Assigned permissions corresponds to the POSIX ACLs that enable you to set permissions for specific named users or groups beyond the file's owner or group.

      Daha fazla bilgi için bkz ..For more information, see HDFS ACLs. ACL 'Lerin Data Lake Storage 1. nasıl uygulandığı hakkında daha fazla bilgi için, bkz. Data Lake Storage 1. Access Control.For more information on how ACLs are implemented in Data Lake Storage Gen1, see Access Control in Data Lake Storage Gen1.

  4. Izin ata dikey penceresini açmak için Ekle simgesine tıklayın.Click the Add icon to open the Assign permissions blade. Bu dikey pencerede Kullanıcı veya Grup Seç' e tıklayın ve ardından Kullanıcı veya grup dikey penceresinde, daha önce Azure Active Directory oluşturduğunuz güvenlik grubunu arayın.In this blade, click Select user or group, and then in Select user or group blade, look for the security group you created earlier in Azure Active Directory. Arama yapmak için çok sayıda grubunuz varsa, Grup adını filtrelemek için üstteki metin kutusunu kullanın.If you have a lot of groups to search from, use the text box at the top to filter on the group name. Eklemek istediğiniz gruba tıklayın ve ardından Seç' e tıklayın.Click the group you want to add and then click Select.

    Grup EkleAdd a group

  5. İzinleri Seç' e tıklayın, izinleri yinelemeli olarak uygulanıp uygulanmayacağı ve izinleri bir erişim ACL 'si, varsayılan ACL veya her ikisi olarak atamak isteyip istemediğiniz.Click Select permissions, select the permissions, whether the permissions should be applied to recursively, and whether you want to assign the permissions as an access ACL, default ACL, or both. Tamam'a tıklayın.Click OK.

    İzinleri Seç seçeneği ile izin ata dikey penceresinin ekran görüntüsü ve Tamam seçeneği olarak adlandırılan izinleri seç dikey penceresi.Screenshot of the Assign permissions blade with the Select permissions option called out and the Select permissions blade with the Ok option called out.

    Data Lake Storage 1. izinler ve varsayılan/erişim ACL 'Leri hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Access Control.For more information about permissions in Data Lake Storage Gen1, and Default/Access ACLs, see Access Control in Data Lake Storage Gen1.

  6. Izinleri Seç dikey penceresinde Tamam ' a tıkladıktan sonra, yeni eklenen grup ve ilişkili izinler artık erişim dikey penceresinde listelenecektir.After clicking Ok in the Select permissions blade, the newly added group and associated permissions will now be listed in the Access blade.

    Veri Mühendisliği seçeneği olarak adlandırılan erişim dikey penceresinin ekran görüntüsü.Screenshot of the Access blade with the Data Engineering option called out.

    Önemli

    Geçerli sürümde, atanan izinleraltında en fazla 28 giriş olabilir.In the current release, you can have up to 28 entries under Assigned permissions. 28 ' den fazla kullanıcı eklemek istiyorsanız güvenlik grupları oluşturmanız, güvenlik gruplarına kullanıcı eklemeniz ve Data Lake Storage 1. hesap için bu güvenlik gruplarına erişim sağlamanız gerekir.If you want to add more than 28 users, you should create security groups, add users to security groups, add provide access to those security groups for the Data Lake Storage Gen1 account.

  7. Gerekirse, Grup eklendikten sonra erişim izinlerini de değiştirebilirsiniz.If required, you can also modify the access permissions after you have added the group. Bu izni kaldırmak mı yoksa güvenlik grubuna atamak mı istediğinize bağlı olarak, her bir izin türünün onay kutusunu (okuma, yazma, yürütme) temizleyin veya seçin.Clear or select the check box for each permission type (Read, Write, Execute) based on whether you want to remove or assign that permission to the security group. Değişiklikleri kaydetmek için Kaydet ' e veya değişiklikleri geri almak için at ' a tıklayın.Click Save to save the changes, or Discard to undo the changes.

Veri erişimi için IP adresi aralığını ayarlaSet IP address range for data access

Data Lake Storage 1., ağ düzeyinde veri deponuza erişimi daha fazla kilitlemenizi sağlar.Data Lake Storage Gen1 enables you to further lock down access to your data store at network level. Güvenlik duvarını etkinleştirebilir, bir IP adresi belirtebilir veya güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz.You can enable firewall, specify an IP address, or define an IP address range for your trusted clients. Etkinleştirildikten sonra yalnızca tanımlı aralıktaki IP adreslerine sahip istemciler mağazaya bağlanabilir.Once enabled, only clients that have the IP addresses within defined range can connect to the store.

Güvenlik Duvarı ayarları ve IP erişimiFirewall settings and IP access

Data Lake Storage 1. hesabının güvenlik gruplarını kaldırmaRemove security groups for a Data Lake Storage Gen1 account

Data Lake Storage 1. hesaplarından güvenlik gruplarını kaldırdığınızda, yalnızca Azure portal ve Azure Resource Manager API 'Lerini kullanarak hesaptaki yönetim işlemlerine erişimi değiştirmiş olursunuz.When you remove security groups from Data Lake Storage Gen1 accounts, you are only changing access to the management operations on the account using the Azure portal and Azure Resource Manager APIs.

Verilere erişim değiştirilmez ve erişim ACL 'Leri tarafından yönetilmeye devam edilir.Access to data is unchanged and is still managed by the access ACLs. Bunun özel durumu, sahipler rolündeki kullanıcılar/gruplarıdır.The exception to this are users/groups in the Owners role. Sahipler rolünden kaldırılan kullanıcılar/gruplar artık süper kullanıcılar değildir ve erişimleri ACL ayarlarına geri döner.Users/groups removed from the Owners role are no longer super users and their access falls back to access ACL settings.

  1. Data Lake Storage 1. hesabı dikey penceresinde Access Control (IAM) seçeneğine tıklayın.In your Data Lake Storage Gen1 account blade, click Access Control (IAM).

    Data Lake Storage 1. hesabına güvenlik grubu atamaAssign security group to Data Lake Storage Gen1 account

  2. Access Control (IAM) dikey penceresinde, kaldırmak istediğiniz güvenlik gruplarını tıklatın.In the Access Control (IAM) blade, click the security group(s) you want to remove. Kaldır’a tıklayın.Click Remove.

    Güvenlik grubu kaldırıldıSecurity group removed

Güvenlik grubu ACL 'Lerini bir Data Lake Storage 1. dosya sisteminden kaldırmaRemove security group ACLs from a Data Lake Storage Gen1 file system

Güvenlik grubu ACL 'Lerini bir Data Lake Storage 1. dosya sisteminden kaldırdığınızda, Data Lake Storage 1. hesabındaki verilere erişimi değiştirirsiniz.When you remove security group ACLs from a Data Lake Storage Gen1 file system, you change access to the data in the Data Lake Storage Gen1 account.

  1. Data Lake Storage 1. hesabı dikey penceresinde Veri Gezgini' e tıklayın.In your Data Lake Storage Gen1 account blade, click Data Explorer.

    Data Lake Storage 1. hesapta dizin oluşturmaCreate directories in Data Lake Storage Gen1 account

  2. Veri Gezgini dikey PENCERESINDE, ACL 'yi kaldırmak istediğiniz klasöre tıklayın ve ardından erişim' e tıklayın.In the Data Explorer blade, click the folder for which you want to remove the ACL, and then click Access. Bir dosyanın ACL 'Lerini kaldırmak için, önce dosyayı önizlemeniz ve ardından dosya önizleme dikey penceresinden erişim ' e tıklamanız gerekir.To remove ACLs for a file, you must first click the file to preview it and then click Access from the File Preview blade.

    Data Lake Storage 1. dosya sisteminde ACL 'Leri ayarlaSet ACLs on Data Lake Storage Gen1 file system

  3. Erişim dikey penceresinde, kaldırmak istediğiniz güvenlik grubuna tıklayın.In the Access blade, click the security group you want to remove. Erişim ayrıntıları dikey penceresinde Kaldır' ı tıklatın.In the Access details blade, click Remove.

    Veri Mühendisliği seçeneği olarak adlandırılan ve erişim ayrıntıları dikey penceresinde Kaldır seçeneği verilen erişim dikey penceresinin ekran görüntüsü.Screenshot of the Access blade with the Data Engineering option called out and the Access details blade with the Remove option called out.

Ayrıca bkz.See also