Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para proteger los datos en Azure Data Lake Storage Gen1, se adopta un enfoque de tres pasos. Es necesario que esté configurado tanto el control de acceso basado en roles de Azure (Azure RBAC) como las listas de control de acceso (ACL) para permitir un acceso total a los datos para los usuarios y los grupos de seguridad.
- Empiece por crear grupos de seguridad en Microsoft Entra ID. Estos grupos de seguridad se usan para implementar el control de acceso basado en roles de Azure (Azure RBAC) en Azure Portal.
- Asigne los grupos de seguridad de Microsoft Entra a la cuenta de Data Lake Storage Gen1. Esto controla el acceso a la cuenta de Data Lake Storage Gen1 desde el portal y las operaciones de administración desde el portal o las API.
- Asigne los grupos de seguridad de Microsoft Entra como listas de control de acceso (ACL) en el sistema de archivos de Data Lake Storage Gen1.
- Además, también puede establecer un intervalo de direcciones IP para los clientes que pueden acceder a los datos de Data Lake Storage Gen1.
En este artículo se proporcionan instrucciones sobre cómo usar el Portal de Azure para realizar las tareas anteriores. Para obtener información detallada sobre cómo Data Lake Storage Gen1 implementa la seguridad en el nivel de cuenta y datos, consulte Seguridad en Azure Data Lake Storage Gen1. Para obtener información detallada sobre cómo se implementan las ACL en Data Lake Storage Gen1, consulte Introducción al control de acceso en Data Lake Storage Gen1.
Prerrequisitos
Antes de empezar este tutorial, debe contar con lo siguiente:
- Una suscripción de Azure. Consulte Obtención de una evaluación gratuita de Azure.
- Una cuenta de Data Lake Storage Gen1. Para obtener instrucciones sobre cómo crear una, consulte Introducción a Azure Data Lake Storage Gen1.
Creación de grupos de seguridad en Microsoft Entra ID
Para obtener instrucciones sobre cómo crear grupos de seguridad de Microsoft Entra y cómo agregar usuarios al grupo, consulte Administración de grupos de seguridad en microsoft Entra ID.
Nota:
Puede agregar usuarios y otros grupos a un grupo de Microsoft Entra ID mediante Azure Portal. Sin embargo, para agregar una entidad de servicio a un grupo, use el módulo de PowerShell de Microsoft Entra ID.
# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>
Asignación de grupos de seguridad o usuarios a cuentas de Data Lake Storage Gen1
Cuando asigna usuarios o grupos de seguridad a las cuentas de Data Lake Storage Gen1, controla el acceso a las operaciones de administración en la cuenta mediante Azure Portal y las API de Azure Resource Manager.
Abra una cuenta de Data Lake Storage Gen1. En el panel izquierdo, haga clic en Todos los recursos y, a continuación, en la hoja Todos los recursos, haga clic en el nombre de la cuenta al que desea asignar un usuario o un grupo de seguridad.
En la hoja de su cuenta de Data Lake Storage Gen1, haga clic en Control de acceso (IAM). De forma predeterminada, la hoja enumera a los propietarios de la suscripción como propietarios.
En la hoja Control de acceso (IAM), haga clic en Agregar para abrir la hoja Agregar permisos . En la hoja Agregar permisos , seleccione un rol para el usuario o grupo. Busque el grupo de seguridad que creó antes en Microsoft Entra ID y selecciónelo. Si tiene muchos usuarios y grupos desde los que buscar, use el cuadro de texto Seleccionar para filtrar por el nombre del grupo.
El rol Propietario y Colaborador proporcionan acceso a una variedad de funciones de administración en la cuenta de Data Lake. Para los usuarios que interactuarán con los datos en el lago de datos, pero aún necesitan ver la información de administración de cuentas, puede agregarlos al rol Lector . El ámbito de estos roles se limita a las operaciones de administración relacionadas con la cuenta de Data Lake Storage Gen1.
Para las operaciones de datos, los permisos individuales del sistema de archivos definen lo que los usuarios pueden hacer. Por lo tanto, un usuario con el rol Lector solamente ve la configuración administrativa asociada a la cuenta pero potencialmente puede leer y escribir datos en función de los permisos del sistema de archivos que tengan asignados. Los permisos del sistema de archivos de Data Lake Storage Gen1 se describen en Asignación de grupos de seguridad como ACL al sistema de archivos de Azure Data Lake Storage Gen1.
Importante
Solo el rol Propietario habilita automáticamente el acceso al sistema de archivos. Los roles Colaborador, Lector y todos los demás roles requieren ACL para habilitar cualquier nivel de acceso a carpetas y archivos. El rol Propietario proporciona permisos de carpeta y archivos de superusuario que no se pueden invalidar a través de ACL. Para más detalles sobre cómo las directivas RBAC de Azure se relacionan con el acceso a datos, consulte RBAC de Azure para la administración de cuentas.
Si desea agregar un grupo o usuario que no aparece en la hoja Agregar permisos , puede invitarlos escribiendo su dirección de correo electrónico en el cuadro de texto Seleccionar y selecciónelos en la lista.
Haga clic en Guardar. Debería ver el grupo de seguridad que se agregó tal como se muestra a continuación.
Ahora el usuario o el grupo de seguridad tienen acceso a la cuenta de Data Lake Storage Gen1. Si desea proporcionar acceso a usuarios específicos, puede agregarlos al grupo de seguridad. De forma similar, si desea revocar el acceso de un usuario, puede quitarle del grupo de seguridad. También puede asignar varios grupos de seguridad a una cuenta.
Asignar usuarios o grupos de seguridad como ACLs al sistema de archivos de Data Lake Storage Gen1
Al asignar usuarios o grupos de seguridad al sistema de archivos de Data Lake Storage Gen1, establece el control de acceso sobre los datos almacenados en Data Lake Storage Gen1.
En la hoja de la cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.
En la hoja Explorador de datos , haga clic en la carpeta para la que desea configurar la ACL y, a continuación, haga clic en Acceso. Para asignar ACL a un archivo, primero debe hacer clic en el archivo para obtener una vista previa y, a continuación, hacer clic en Acceso desde la hoja Vista previa de archivos.
En la hoja Acceso se enumeran los propietarios y los permisos ya asignados a la raíz. Haga clic en el icono Agregar para agregar ACL de acceso adicionales.
Importante
El establecimiento de los permisos de acceso para un único archivo no concede necesariamente a un usuario o grupo acceso a ese archivo. La ruta de acceso al archivo debe ser accesible para el usuario o grupo asignado. Para obtener más información y ejemplos, consulte Escenarios comunes relacionados con los permisos.
Propietarios y Todos los demás ofrecen acceso al estilo UNIX, donde se especifican lectura, escritura y ejecución (rwx) para tres clases de usuario distintas: propietario, grupo y otros.
Los permisos asignados corresponden a las ACL POSIX que permiten establecer permisos para usuarios o grupos con nombre específicos más allá del propietario o grupo del archivo.
Para más información, consulte ACL de HDFS. Para obtener más información sobre cómo se implementan las ACL en Data Lake Storage Gen1, consulte Control de acceso en Data Lake Storage Gen1.
Haga clic en el icono Agregar para abrir la hoja Asignar permisos . En esta hoja, haga clic en Seleccionar usuario o grupo y, a continuación, en la hoja Seleccionar usuario o grupo , busque el grupo de seguridad que creó anteriormente en Microsoft Entra ID. Si tiene muchos grupos en los que buscar, use el cuadro de texto en la parte superior para filtrar según el nombre del grupo. Haga clic en el grupo que desea agregar y, a continuación, haga clic en Seleccionar.
Haga clic en Seleccionar permisos, seleccione los permisos, si los permisos se deben aplicar de forma recursiva y si desea asignar los permisos como una ACL de acceso, una ACL predeterminada o ambas. Haga clic en Aceptar.
Para obtener más información sobre los permisos en Data Lake Storage Gen1 y las ACL predeterminadas o de acceso, consulte Control de acceso en Data Lake Storage Gen1.
Después de hacer clic en Aceptar en la hoja Seleccionar permisos , el grupo recién agregado y los permisos asociados aparecerán ahora en la hoja Acceso .
Importante
En la versión actual, puede tener hasta 28 entradas en Permisos asignados. Si quiere agregar más de 28 usuarios, debe crear grupos de seguridad, agregar usuarios a los grupos de seguridad y proporcionar acceso a esos grupos de seguridad para la cuenta de Data Lake Storage Gen1.
Si es necesario, también puede modificar los permisos de acceso después de agregar el grupo. Active o desactive la casilla para cada tipo de permiso (lectura, escritura, ejecución) en función de si desea quitarlo o asignarlo al grupo de seguridad. Haga clic en Guardar para guardar los cambios o descartar para deshacer los cambios.
Configuración del intervalo de direcciones IP para el acceso a los datos
Data Lake Storage Gen1 le permite bloquear aún más el acceso a su almacén de datos en el nivel de red. Puede habilitar el firewall, especificar una dirección IP o definir un intervalo de direcciones IP para los clientes de confianza. Una vez habilitado, solo los clientes que tienen las direcciones IP dentro del intervalo definido pueden conectarse al almacén.
Eliminación de grupos de seguridad de una cuenta de Data Lake Storage Gen1
Al quitar grupos de seguridad de las cuentas de Data Lake Storage Gen1, solamente está cambiando el acceso a las operaciones de administración en la cuenta mediante Azure Portal y las API de Azure Resource Manager.
El acceso a datos no se ha modificado y sigue administrado por las ACL de acceso. La excepción a esto son los usuarios o grupos en el rol de Propietarios. Los usuarios o grupos que se eliminen del rol de Propietarios dejarán de ser superusuarios y su acceso se ajustará a la configuración de acceso de ACL.
En el panel de su cuenta de Data Lake Storage Gen1, haga clic en Control de acceso (IAM).
En la hoja Control de acceso (IAM), haga clic en los grupos de seguridad que desea quitar. Haga clic en Quitar.
Grupo de seguridad
Eliminación de las ACL de grupos de seguridad del sistema de archivos de Data Lake Storage Gen1
Cuando elimina las listas de control de acceso (ACL) de grupos de seguridad de un sistema de archivos de Data Lake Storage Gen1, se modifica el acceso a los datos en la cuenta de Data Lake Storage Gen1.
En la hoja de la cuenta de Data Lake Storage Gen1, haga clic en Explorador de datos.
de En la hoja Explorador de datos , haga clic en la carpeta para la que desea quitar la ACL y, a continuación, haga clic en Acceso. Para quitar las ACL de un archivo, primero debe hacer clic en el archivo para obtener una vista previa y, a continuación, hacer clic en Acceso desde la hoja Vista previa de archivos.
En la hoja Acceso , haga clic en el grupo de seguridad que desea quitar. En la hoja Detalles de acceso , haga clic en Quitar.
Consulte también
- Introducción a Azure Data Lake Storage Gen1
- Copia de datos de blobs de Azure Storage a Data Lake Storage Gen1
- Uso de Azure Data Lake Analytics con Data Lake Storage Gen1
- Uso de Azure HDInsight con Data Lake Storage Gen1
- Introducción a Data Lake Storage Gen1 mediante PowerShell
- Introducción a Data Lake Storage Gen1 mediante el SDK de .NET
- Acceso a los registros de diagnóstico para Data Lake Storage Gen1