Azure Data Lake Storage 1. Nesil'de depolanan verilerin güvenliğini sağlama

Azure Data Lake Storage. Nesil'de verilerin güvenliğini sağlamak üç adımlı bir yaklaşımdır. Hem Azure rol tabanlı erişim denetimi (Azure RBAC) hem de erişim denetim listeleri (ACL) kullanıcılar ve güvenlik grupları için verilere erişimi tam olarak etkinleştirecek şekilde ayarlanmalıdır.

1. başlangıç olarak Microsoft Entra ID'da güvenlik grupları oluşturun. Bu güvenlik grupları, Azure portal Azure rol tabanlı erişim denetimini (Azure RBAC) uygulamak için kullanılır.
2. Microsoft Entra güvenlik gruplarını Data Lake Storage 1. Nesil hesabına atayın. Bu, portaldan Data Lake Storage 1. Nesil hesabına erişimi ve portaldan veya API'lerden yönetim işlemlerini denetler.
3. Microsoft Entra güvenlik gruplarını Data Lake Storage 1. Nesil dosya sisteminde erişim denetim listeleri (ACL) olarak atayın.
4. Ayrıca, Data Lake Storage 1. Nesil'daki verilere erişebilen istemciler için bir IP adresi aralığı da ayarlayabilirsiniz.

Bu makalede, yukarıdaki görevleri gerçekleştirmek için Azure portal kullanma yönergeleri sağlanır. Data Lake Storage 1. Nesil hesap ve veri düzeyinde güvenliği nasıl uyguladığı hakkında ayrıntılı bilgi için bkz. Azure Data Lake Storage 1. Nesil'de güvenlik. ACL'lerin Data Lake Storage 1. Nesil nasıl uygulandığı hakkında ayrıntılı bilgi için bkz. Data Lake Storage 1. Nesil'da Access Control genel bakış.

Önkoşullar

Bu öğreticiye başlamadan önce aşağıdakilere sahip olmanız gerekir:

• Bir Azure aboneliği. Bkz. Azure ücretsiz deneme sürümü edinme.
• bir Data Lake Storage 1. Nesil hesabı. Oluşturma yönergeleri için bkz. Azure Data Lake Storage 1. Nesil'i kullanmaya başlama

Microsoft Entra ID'de güvenlik grupları oluşturma

Microsoft Entra güvenlik grupları oluşturma ve gruba kullanıcı ekleme yönergeleri için bkz. Microsoft Entra ID'de güvenlik gruplarını yönetme.

Not

Azure portal kullanarak Microsoft Entra ID'daki bir gruba hem kullanıcıları hem de diğer grupları ekleyebilirsiniz. Ancak, bir gruba hizmet sorumlusu eklemek için Microsoft Entra ID PowerShell modülünü kullanın.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Data Lake Storage 1. Nesil hesaplarına kullanıcı veya güvenlik grupları atama

kullanıcıları veya güvenlik gruplarını Data Lake Storage 1. Nesil hesaplarına atadığınızda, Azure portal ve Azure Resource Manager API'lerini kullanarak hesap üzerindeki yönetim işlemlerine erişimi denetleyebilirsiniz.

1. bir Data Lake Storage 1. Nesil hesabı açın. Sol bölmeden Tüm kaynaklar'a tıklayın ve ardından Tüm kaynaklar dikey penceresinde, kullanıcı veya güvenlik grubu atamak istediğiniz hesap adına tıklayın.

2. Data Lake Storage 1. Nesil hesabı dikey pencerenizde Access Control (IAM) seçeneğine tıklayın. Dikey pencere varsayılan olarak abonelik sahiplerini sahip olarak listeler.

   

3. Access Control (IAM) dikey penceresinde Ekle'ye tıklayarak İzin ekle dikey penceresini açın. İzin ekle dikey penceresinde kullanıcı/grup için bir Rol seçin. daha önce Microsoft Entra ID'de oluşturduğunuz güvenlik grubunu arayın ve seçin. Aramanız gereken çok sayıda kullanıcı ve grup varsa, grup adına göre filtrelemek için Seç metin kutusunu kullanın.

   

   Sahip ve Katkıda Bulunan rolü, data lake hesabındaki çeşitli yönetim işlevlerine erişim sağlar. Veri gölündeki verilerle etkileşim kuracak ancak yine de hesap yönetimi bilgilerini görüntülemesi gereken kullanıcılar için, bunları Okuyucu rolüne ekleyebilirsiniz. Bu rollerin kapsamı, Data Lake Storage 1. Nesil hesabıyla ilgili yönetim işlemleriyle sınırlıdır.

   Veri işlemleri için, tek tek dosya sistemi izinleri kullanıcıların neler yapabileceğini tanımlar. Bu nedenle, Okuyucu rolüne sahip bir kullanıcı yalnızca hesapla ilişkili yönetim ayarlarını görüntüleyebilir, ancak kendisine atanan dosya sistemi izinlerine göre verileri okuyabilir ve yazabilir. Data Lake Storage 1. Nesil dosya sistemi izinleri, güvenlik grubunu Azure Data Lake Storage 1. Nesil dosya sistemine ACL olarak atama bölümünde açıklanmıştır.

   Önemli

   Dosya sistemi erişimini yalnızca Sahip rolü otomatik olarak etkinleştirir. Katkıda Bulunan, Okuyucu ve diğer tüm roller, klasörlere ve dosyalara herhangi bir düzeyde erişim sağlamak için ACL'ler gerektirir. Sahip rolü, ACL'ler aracılığıyla geçersiz kılınamayan süper kullanıcı dosya ve klasör izinleri sağlar. Azure RBAC ilkelerinin veri erişimiyle nasıl eşlenmesi hakkında daha fazla bilgi için bkz. Hesap yönetimi için Azure RBAC.

4. İzin ekle dikey penceresinde listelenmeyen bir grup/kullanıcı eklemek istiyorsanız, e-posta adreslerini Seç metin kutusuna yazıp listeden seçerek davet edebilirsiniz.

   

5. Kaydet’e tıklayın. Aşağıda gösterildiği gibi güvenlik grubunun eklendiğini görmeniz gerekir.

   

6. Kullanıcı/güvenlik grubunuzun artık Data Lake Storage 1. Nesil hesabına erişimi vardır. Belirli kullanıcılara erişim sağlamak istiyorsanız, bunları güvenlik grubuna ekleyebilirsiniz. Benzer şekilde, bir kullanıcının erişimini iptal etmek istiyorsanız, bu erişimi güvenlik grubundan kaldırabilirsiniz. Bir hesaba birden çok güvenlik grubu da atayabilirsiniz.

Kullanıcıları veya güvenlik gruplarını Data Lake Storage 1. Nesil dosya sistemine ACL olarak atama

Data Lake Storage 1. Nesil dosya sistemine kullanıcı/güvenlik grupları atayarak, Data Lake Storage 1. Nesil depolanan veriler üzerinde erişim denetimi ayarlarsınız.

1. Data Lake Storage 1. Nesil hesabı dikey pencerenizde Veri Gezgini'e tıklayın.

   görüntüleme

2. Veri Gezgini dikey penceresinde, ACL'yi yapılandırmak istediğiniz klasöre tıklayın ve ardından Access'e tıklayın. Bir dosyaya ACL atamak için önce dosyayı tıklayarak önizlemesini görüntülemeniz ve ardından Dosya Önizleme dikey penceresinden Access'e tıklamanız gerekir.

   

3. Erişim dikey penceresinde, köke atanmış olan sahipler ve atanmış izinler listelenir. Ek Access ACL'leri eklemek için Ekle simgesine tıklayın.

   Önemli

   Tek bir dosya için erişim izinlerini ayarlamak, bir kullanıcıya/gruba bu dosyaya erişim izni vermek zorunda değildir. Dosyanın yoluna atanan kullanıcı/grup tarafından erişilebilir olmalıdır. Daha fazla bilgi ve örnek için bkz. İzinlerle ilgili yaygın senaryolar.

   

   • Sahipler ve Diğer Herkes UNIX stilinde erişim sağlar; burada üç ayrı kullanıcı sınıfına okuma, yazma, yürütme (rwx) belirtmeniz gerekir: sahip, grup ve diğerleri.

   • Atanan izinler , dosyanın sahibi veya grubunun ötesinde belirli adlandırılmış kullanıcılar veya gruplar için izinler ayarlamanıza olanak tanıyan POSIX ACL'lerine karşılık gelir.

     Daha fazla bilgi için bkz. HDFS ACL'leri. ACL'lerin Data Lake Storage 1. Nesil nasıl uygulandığı hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil'de Access Control.

4. İzin ata dikey penceresini açmak için Ekle simgesine tıklayın. Bu dikey pencerede Kullanıcı veya grup seç'e tıklayın ve kullanıcı veya grup seçin dikey penceresinde daha önce Microsoft Entra ID oluşturduğunuz güvenlik grubunu arayın. Aramanız gereken çok fazla grup varsa, üstteki metin kutusunu kullanarak grup adına göre filtreleyin. Eklemek istediğiniz gruba tıklayın ve ardından Seç'e tıklayın.

   

5. İzinleri seç'e tıklayın, izinleri, izinlerin özyinelemeli olarak uygulanıp uygulanmayacağını ve izinleri erişim ACL'sine, varsayılan ACL'ye veya her ikisine de atamak isteyip istemediğinizi seçin. Tamam'a tıklayın.

   

   Data Lake Storage 1. Nesil ve Varsayılan/Erişim ACL'lerindeki izinler hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil'da Access Control.

6. İzinleri seçin dikey penceresinde Tamam'a tıkladıktan sonra, yeni eklenen grup ve ilişkili izinler artık Erişim dikey penceresinde listelenir.

   

   Önemli

   Geçerli sürümde , Atanan izinler altında en fazla 28 girdiniz olabilir. 28'den fazla kullanıcı eklemek istiyorsanız, güvenlik grupları oluşturmalı, güvenlik gruplarına kullanıcı eklemeli, Data Lake Storage 1. Nesil hesabı için bu güvenlik gruplarına erişim sağlamalısınız.

7. Gerekirse, grubu ekledikten sonra erişim izinlerini de değiştirebilirsiniz. Güvenlik grubuna bu izni kaldırmak veya atamak isteyip istemediğinize bağlı olarak her izin türünün (Okuma, Yazma, Yürütme) onay kutusunu temizleyin veya seçin. Değişiklikleri kaydetmek için Kaydet'e veya değişiklikleri geri almak için At'a tıklayın.

Veri erişimi için IP adresi aralığını ayarlama

Data Lake Storage 1. Nesil, veri deponuza erişimi ağ düzeyinde daha fazla kilitlemenize olanak tanır. Güvenlik duvarını etkinleştirebilir, bir IP adresi belirtebilir veya güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz. Etkinleştirildikten sonra, yalnızca tanımlı aralık içindeki IP adreslerine sahip istemciler depoya bağlanabilir.

Data Lake Storage 1. Nesil hesabı için güvenlik gruplarını kaldırma

Data Lake Storage 1. Nesil hesaplarından güvenlik gruplarını kaldırdığınızda, yalnızca Azure portal ve Azure Resource Manager API'lerini kullanarak hesap üzerindeki yönetim işlemlerine erişimi değiştirirsiniz.

Verilere erişim değiştirilmez ve erişim ACL'leri tarafından yönetilir. Bunun istisnası Sahipler rolündeki kullanıcılar/gruplardır. Sahipler rolünden kaldırılan kullanıcılar/gruplar artık süper kullanıcı değildir ve erişimleri ACL ayarlarına geri döner.

1. Data Lake Storage 1. Nesil hesabı dikey pencerenizde Access Control (IAM) seçeneğine tıklayın.

   

2. Access Control (IAM) dikey penceresinde, kaldırmak istediğiniz güvenlik gruplarına tıklayın. Kaldır’a tıklayın.

   

Data Lake Storage 1. Nesil dosya sisteminden güvenlik grubu ACL'lerini kaldırma

Data Lake Storage 1. Nesil dosya sisteminden güvenlik grubu ACL'lerini kaldırdığınızda, Data Lake Storage 1. Nesil hesabındaki verilere erişimi değiştirirsiniz.

1. Data Lake Storage 1. Nesil hesabı dikey pencerenizde Veri Gezgini'e tıklayın.

   

2. Veri Gezgini dikey penceresinde, ACL'yi kaldırmak istediğiniz klasöre tıklayın ve sonra da Access'e tıklayın. Bir dosyanın ACL'lerini kaldırmak için önce önizlemesini görüntülemek üzere dosyaya tıklamanız ve ardından Dosya Önizleme dikey penceresinden Access'e tıklamanız gerekir.

   

3. Erişim dikey penceresinde, kaldırmak istediğiniz güvenlik grubuna tıklayın. Erişim ayrıntıları dikey penceresinde Kaldır'a tıklayın.

   

Ayrıca bkz.

• Azure Data Lake Storage 1. Nesil'e genel bakış
• Azure Depolama Bloblarından Data Lake Storage 1. Nesil'a veri kopyalama
• Azure Data Lake Analytics'i Data Lake Storage 1. Nesil ile kullanma
• Azure HDInsight'ı Data Lake Storage 1. Nesil ile kullanma
• PowerShell ile Data Lake Storage Gen1'i kullanmaya başlama
• .NET SDK kullanarak Data Lake Storage 1. Nesil kullanmaya başlama
• Data Lake Storage 1. Nesil için tanılama günlüklerine erişme