Защита данных, хранимых в Azure Data Lake Storage 1-го поколения

Для защиты данных, хранимых в Azure Data Lake Storage 1-го поколения, необходимо выполнить три шага. Как управление доступом на основе ролей Azure (Azure RBAC), так и списки управления доступом (ACL) должны быть настроены таким образом, чтобы полностью разрешить доступ к данным для пользователей и групп безопасности.

  1. Начните с создания групп безопасности в Microsoft Entra ID. Эти группы безопасности используются для реализации управления доступом на основе ролей (Azure RBAC) на портале Azure.
  2. Назначьте Microsoft Entra группы безопасности учетной записи Data Lake Storage 1-го поколения. Это позволит контролировать доступ к учетной записи Data Lake Storage 1-го поколения с портала и операции управления с портала или через API-интерфейсы.
  3. Назначьте Microsoft Entra группы безопасности в качестве списков управления доступом (ACL) в файловой системе Data Lake Storage 1-го поколения.
  4. Кроме того, вы также можете задать диапазон IP-адресов для клиентов с доступом к данным в Data Lake Storage 1-го поколения.

В этой статье представлены инструкции по использованию портала Azure для выполнения указанных выше задач. Подробные сведения о реализации безопасности на уровне учетной записи и данных в Data Lake Storage 1-го поколения см. в статье Обеспечение безопасности в Azure Data Lake Storage 1-го поколения. Подробные сведения о реализации списков ACL в Data Lake Storage 1-го поколения см. в статье Обзор контроля доступа в Data Lake Storage 1-го поколения.

Предварительные требования

Перед началом работы с этим учебником необходимо иметь следующее:

Создание групп безопасности в Microsoft Entra ID

Инструкции по созданию групп безопасности Microsoft Entra и добавлению пользователей в группу см. в статье Управление группами безопасности в Microsoft Entra ID.

Примечание

Вы можете добавить пользователей и другие группы в группу в Microsoft Entra ID с помощью портал Azure. Однако чтобы добавить субъект-службу в группу, используйте модуль PowerShell Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Назначение пользователей или групп безопасности учетным записям Data Lake Storage 1-го поколения

При назначении пользователей или групп безопасности учетной записи Data Lake Storage 1-го поколения вы контролируете доступ к операциям управления в учетной записи с помощью портала Azure и API Azure Resource Manager Azure.

  1. Откройте учетную запись Data Lake Storage 1-го поколения. На левой панели щелкните Все ресурсы, а затем в колонке "Все ресурсы" щелкните имя учетной записи, которой вы хотите назначить пользователя или группу безопасности.

  2. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Управление доступом (IAM). В колонке по умолчанию перечисляются владельцы подписки под заголовком "Владелец".

    Назначение группы безопасности учетной записи Azure Data Lake Storage 1-го поколения

  3. В колонке Управление доступом (IAM) нажмите кнопку Добавить, чтобы открыть колонку Добавить разрешения. В колонке Добавить разрешения выберите роль пользователя или группы. Найдите созданную ранее группу безопасности в Microsoft Entra ID и выберите ее. Если у вас много пользователей и групп, среди которых нужно проводить поиск, воспользуйтесь текстовым полем Выбрать, чтобы отфильтровать список по названию группы.

    Добавление роли для пользователя

    Роли Владелец и Участник предоставляют доступ ко множеству функций администрирования учетной записи Data Lake. Пользователей, которые будут работать с данными в озере данных, но одновременно нуждаются в информации об учетной записи, можно добавить к роли Читатель. Область этих ролей ограничена операциями управления, относящимися к учетной записи Data Lake Storage 1-го поколения.

    Разрешения отдельной файловой системы определяют, какие операции с данными могут выполнять пользователи. Таким образом, пользователь с ролью «Читатель» может только просматривать параметры администрирования, связанные с учетной записью, но потенциально может считывать и записывать данные в зависимости от назначенных ему разрешений файловой системы. Разрешения файловой системы Data Lake Storage 1-го поколения описаны в разделе Назначение группы безопасности в виде ACL в файловой системе Data Lake Storage 1-го поколения.

    Важно!

    Только роль Владелец дает автоматический доступ к файловой системе. Для получения любого уровня доступа к папкам и файлам роли Участник и Читатель, а также все остальные, требуют включения пользователя в список управления доступом. Роль Владелец предоставляет права суперпользователя на доступ к файлам и папкам, которые не могут быть переопределены через ACL. Дополнительные сведения о том, как политики Azure RBAC сопоставляются с доступом к данным, см. в разделе Azure RBAC для управления учетными записями.

  4. Если нужно добавить группу или пользователя, не указанные в колонке Добавить разрешения, можно пригласить их, вписав их адрес электронной почты в текстовое поле Выбрать и выбрав их из списка.

    Добавление группы безопасности

  5. Нажмите Сохранить. Вы увидите группы безопасности, как показано ниже.

    Добавлена группа безопасности

  6. У пользователя или группы безопасности теперь есть доступ к учетной записи Data Lake Storage 1-го поколения. Если вы хотите предоставить доступ конкретным пользователям, их можно добавить в группу безопасности. Аналогично, если требуется отменить доступ для пользователя, его можно удалить из группы безопасности. Можно также назначить несколько групп безопасности для учетной записи.

Назначение пользователей или групп безопасности в виде списка контроля доступа в файловой системе Data Lake Storage 1-го поколения

Назначая пользователя или группы безопасности в файловой системе Data Lake Storage 1-го поколения, вы устанавливаете контроль доступа к данным, хранимым в Data Lake Storage 1-го поколения.

  1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

    Просмотр данных с помощью Data Explorer

  2. В колонке Обозреватель данных выберите папку, для которой нужно настроить список управления доступом, а затем нажмите кнопку Доступ. Чтобы назначить списки управления доступом для файла, выберите файл для предварительного просмотра и щелкните Доступ из колонки Предварительный просмотр файла.

    Настройка списков управления доступом в Data Lake Storage 1-го поколения файловой системе

  3. В колонке Доступ перечислены владельцы и назначенные им права доступа, которые уже назначены администратору. Нажмите кнопку Добавить, чтобы добавить дополнительные списки ACL для доступа.

    Важно!

    При настройке прав доступа к одному файлу пользователю или группе не обязательно предоставляются права доступа к этому файлу. Необходимо также обеспечить доступность пути к файлу для этого пользователя или группы. Дополнительные сведения и примеры см. в разделе Типовые сценарии при работе с разрешениями.

    Стандартный и настраиваемый доступ Список

    • Владельцы и Все остальные — доступ в стиле UNIX, согласно которому права на чтение, запись и выполнение (rwx) указываются для трех различных классов пользователей: владелец, группа и другие.

    • Назначенные разрешения соответствуют спискам управления доступом POSIX, в которых можно задать разрешения для конкретных именованных пользователей или групп, а не только для владельца файла или группы.

      Дополнительные сведения см. в разделе ACL HDFS. Дополнительные сведения о реализации списков управления доступом в контексте Data Lake Storage 1-го поколения см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

  4. Щелкните значок Добавить, чтобы открыть колонку Назначение разрешений. В этой колонке щелкните Выбрать пользователя или группу, а затем в колонке Выбор пользователя или группы найдите созданную ранее группу безопасности в Microsoft Entra ID. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.

    Добавление группы

  5. Нажмите кнопку Выберите разрешения, выберите разрешения, а также любой из вариантов назначения разрешений — рекурсивно или в виде ACL для доступа, ACL по умолчанию или обоих одновременно. Нажмите кнопку ОК.

    Снимок экрана: колонка

    Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

  6. После нажатия кнопки ОК в колонке Назначьте разрешения добавленная группа и связанные с ней разрешения будут перечислены в колонке Доступ.

    Снимок экрана: колонка Access с указанным параметром Инжиниринг данных.

    Важно!

    В текущей версии можно внести до 28 записей в список Назначенные разрешения. Если нужно добавить больше 28 пользователей, необходимо создать группы безопасности, добавить в них пользователей и предоставить доступ этим группам безопасности к учетной записи хранения Data Lake Storage 1-го поколения.

  7. При необходимости можно также изменить права доступа уже после добавления группы. Снимите или установите флажок для каждого типа разрешений (чтение, запись, выполнение) в зависимости от того, нужно ли удалить или назначить разрешение для группы безопасности. Щелкните Сохранить, чтобы сохранить изменения, или Отменить для их отмены.

Назначение диапазона IP-адресов для доступа к данным

Data Lake Storage 1-го поколения позволяет дополнительно блокировать доступ к хранилищу данных на уровне сети. Вы можете включить брандмауэр, указать IP-адрес или определить диапазон IP-адресов для доверенных клиентов. После включения брандмауэра к хранилищу смогут подключаться только клиенты с IP-адресами из определенного диапазона.

Параметры брандмауэра и ДОСТУП по IP-адресу

Удаление групп безопасности из учетной записи Data Lake Storage 1-го поколения

При удалении групп безопасности из учетных записей Data Lake Storage 1-го поколения вы изменяете только доступ к операциям управления в учетной записи с помощью портала Azure и API-интерфейсов Azure Resource Manager.

Права доступа к данным не меняются и по-прежнему управляются ACL. Исключением являются пользователи и группы с ролью владельцев. Пользователи и группы, удаленные из роли "Владельцы", больше не являются суперпользователями и их права доступа ограничиваются правами, предоставляемыми списком управления доступом.

  1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Управление доступом (IAM).

    Назначение группы безопасности Data Lake Storage 1-го поколения учетной записи

  2. В колонке Управление доступом (IAM) выберите группы безопасности, которые требуется удалить. Щелкните Удалить.

    Удалена группа безопасности

Удаление ACL группы безопасности из файловой системы Data Lake Storage 1-го поколения

При удалении списка контроля доступа группы безопасности из файловой системы Data Lake Storage 1-го поколения вы меняете права доступа к данным в учетной записи Data Lake Storage 1-го поколения.

  1. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

    Создание каталогов в учетной записи Data Lake Storage 1-го поколения

  2. В колонке Обозреватель данных выберите папку, для которой нужно удалить список управления доступом, а затем нажмите кнопку Доступ. Для удаления списка управления доступом, созданного для файла, выберите файл для предварительного просмотра и нажмите кнопку Доступ в колонке Предварительный просмотр файла.

    Настройка списков управления доступом в Data Lake Storage 1-го поколения файловой системе

  3. В колонке Доступ выберите группу безопасности, которую необходимо удалить. В колонке Сведения о доступе щелкните Удалить.

    Снимок экрана: колонка

См. также раздел