Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het beveiligen van gegevens in Azure Data Lake Storage Gen1 is een driestapsbenadering. Zowel op rollen gebaseerd toegangsbeheer (Azure RBAC) als toegangsbeheerlijsten (ACL's) van Azure moeten zijn ingesteld om volledig toegang tot gegevens in te schakelen voor gebruikers en beveiligingsgroepen.
- Begin met het maken van beveiligingsgroepen in Microsoft Entra ID. Deze beveiligingsgroepen worden gebruikt voor het implementeren van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) in Azure Portal.
- Wijs de Microsoft Entra-beveiligingsgroepen toe aan het Data Lake Storage Gen1-account. Hiermee beheert u de toegang tot het Data Lake Storage Gen1-account vanuit de portal en beheerbewerkingen vanuit de portal of API's.
- Wijs de Microsoft Entra-beveiligingsgroepen toe als toegangsbeheerlijsten (ACL's) in het Data Lake Storage Gen1-bestandssysteem.
- Daarnaast kunt u ook een IP-adresbereik instellen voor clients die toegang hebben tot de gegevens in Data Lake Storage Gen1.
Dit artikel bevat instructies voor het gebruik van Azure Portal om de bovenstaande taken uit te voeren. Zie Beveiliging in Azure Data Lake Storage Gen1 voor uitgebreide informatie over de implementatie van beveiliging op account- en gegevensniveau. Zie Overzicht van toegangsbeheer in Data Lake Storage Gen1 voor uitgebreide informatie over hoe ACL's worden geïmplementeerd in Data Lake Storage Gen1.
Vereiste voorwaarden
Voordat u met deze zelfstudie begint, moet u het volgende hebben of hebben gedaan:
- een Azure-abonnement. Zie Gratis proefversie van Azure ophalen.
- Een Data Lake Storage Gen1-account. Voor instructies over het maken van een eenheid, zie Aan de slag met Azure Data Lake Storage Gen1.
Beveiligingsgroepen maken in Microsoft Entra-id
Zie Beveiligingsgroepen beheren in Microsoft Entra-id voor instructies voor het maken van Microsoft Entra-beveiligingsgroepen en het toevoegen van gebruikers aan de groep.
Notitie
U kunt zowel gebruikers als andere groepen toevoegen aan een groep in Microsoft Entra-id met behulp van Azure Portal. Als u echter een service-principal aan een groep wilt toevoegen, gebruikt u de PowerShell-module van Microsoft Entra ID.
# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>
Koppel gebruikers of beveiligingsgroepen aan Data Lake Storage Gen1-accounts
Wanneer u gebruikers of beveiligingsgroepen toewijst aan Data Lake Storage Gen1-accounts, kunt u de toegang tot de beheerbewerkingen voor het account beheren met behulp van de Azure-portal en Azure Resource Manager-API's.
Open een Data Lake Storage Gen1-account. Klik in het linkerdeelvenster op Alle resources en klik vervolgens op de blade Alle resources op de accountnaam waaraan u een gebruiker of beveiligingsgroep wilt toewijzen.
Klik in het blade van uw Data Lake Storage Gen1-account op Toegangsbeheer (IAM). Op het blad worden de abonnementseigenaren standaard weergegeven als eigenaar.
Klik op de blade Toegangsbeheer (IAM) op Toevoegen om de blade Machtigingen toevoegen te openen. In de blade Machtigingen toevoegen selecteert u een Rol voor de gebruiker/groep. Zoek naar de beveiligingsgroep die u eerder in Microsoft Entra-id hebt gemaakt en selecteer deze. Als u veel gebruikers en groepen hebt waaruit u wilt zoeken, gebruikt u het tekstvak Selecteren om te filteren op de groepsnaam.
De rol Eigenaar en Inzender bieden toegang tot verschillende beheerfuncties in het Data Lake-account. Voor gebruikers die met gegevens in de datalake werken, maar ook accountbeheergegevens moeten bekijken, kunt u ze toevoegen aan de rol Lezer. Het bereik van deze rollen is beperkt tot de beheerbewerkingen met betrekking tot het Data Lake Storage Gen1-account.
Voor gegevensbewerkingen definiëren afzonderlijke bestandssysteemmachtigingen wat de gebruikers kunnen doen. Daarom kan een gebruiker met de rol Lezer alleen beheerinstellingen weergeven die aan het account zijn gekoppeld, maar mogelijk gegevens lezen en schrijven op basis van machtigingen van het bestandssysteem die aan hen zijn toegewezen. Data Lake Storage Gen1-bestandssysteemmachtigingen worden beschreven bij Beveiligingsgroep toewijzen als ACL's aan het Azure Data Lake Storage Gen1-bestandssysteem.
Belangrijk
Alleen de rol Eigenaar schakelt automatisch toegang tot het bestandssysteem in. De inzender, lezer en alle andere rollen vereisen ACL's om elk toegangsniveau tot mappen en bestanden in te schakelen. De rol Eigenaar biedt machtigingen voor supergebruikersbestanden en mappen die niet kunnen worden overschreven via ACL's. Voor meer informatie over hoe Azure RBAC-beleid wordt toegewezen aan gegevenstoegang, zie Azure RBAC voor accountbeheer.
Als u een groep/gebruiker wilt toevoegen die niet wordt vermeld op de blade Machtigingen toevoegen , kunt u ze uitnodigen door hun e-mailadres te typen in het tekstvak Selecteren en deze vervolgens in de lijst te selecteren.
Klik op Opslaan. U zult zien dat de beveiligingsgroep is toegevoegd, zoals hieronder wordt weergegeven.
Uw gebruikers-/beveiligingsgroep heeft nu toegang tot het Data Lake Storage Gen1-account. Als u toegang wilt verlenen tot specifieke gebruikers, kunt u deze toevoegen aan de beveiligingsgroep. Als u de toegang voor een gebruiker wilt intrekken, kunt u ze ook verwijderen uit de beveiligingsgroep. U kunt ook meerdere beveiligingsgroepen toewijzen aan een account.
Gebruikers of beveiligingsgroepen toewijzen als ACL's aan het Data Lake Storage Gen1-bestandssysteem
Door gebruikers-/beveiligingsgroepen toe te wijzen aan het Data Lake Storage Gen1-bestandssysteem, stelt u toegangsbeheer in voor de gegevens die zijn opgeslagen in Data Lake Storage Gen1.
In het Data Lake Storage Gen1-accountblad, klik op Data Explorer.
Klik op de blade Data Explorer op de map waarvoor u de ACL wilt configureren en klik vervolgens op Access. Als u ACL's aan een bestand wilt toewijzen, moet u eerst op het bestand klikken om het voorbeeld weer te geven en vervolgens op Access klikken in de Bestandvoorbeeld-blade.
Op het Access-scherm worden de eigenaren en de verleende machtigingen vermeld die al aan de root zijn toegewezen. Klik op het pictogram Toevoegen om extra toegangs-ACL's toe te voegen.
Belangrijk
Het instellen van toegangsmachtigingen voor één bestand verleent niet noodzakelijkerwijs een gebruiker/groep toegang tot dat bestand. Het pad naar het bestand moet toegankelijk zijn voor de toegewezen gebruiker/groep. Zie Algemene scenario's met betrekking tot machtigingen voor meer informatie en voorbeelden.
De eigenaren en alle anderen bieden UNIX-stijltoegang, waarbij u lezen, schrijven, uitvoeren (rwx) opgeeft aan drie verschillende gebruikersklassen: eigenaar, groep en andere.
Toegewezen machtigingen komen overeen met de POSIX-ACL's waarmee u machtigingen kunt instellen voor specifieke benoemde gebruikers of groepen buiten de eigenaar of groep van het bestand.
Zie HDFS-ACL's voor meer informatie. Zie Toegangsbeheer in Data Lake Storage Gen1 voor meer informatie over hoe ACL's worden geïmplementeerd in Data Lake Storage Gen1.
Klik op het pictogram Toevoegen om de blade Machtigingen toewijzen te openen. Klik op deze blade op Gebruiker of groep selecteren en zoek in de blade Gebruiker of groep selecteren naar de beveiligingsgroep die u eerder in Microsoft Entra-id hebt gemaakt. Als u veel groepen hebt waaruit u wilt zoeken, gebruikt u het tekstvak bovenaan om te filteren op de groepsnaam. Klik op de groep die u wilt toevoegen en klik vervolgens op Selecteren.
Klik op Machtigingen selecteren, selecteer de machtigingen, of de machtigingen recursief moeten worden toegepast en of u de machtigingen wilt toewijzen als toegangs-ACL, standaard-ACL of beide. Klik op OK.
Zie Toegangsbeheer in Data Lake Storage Gen1 voor meer informatie over machtigingen in Data Lake Storage Gen1 en ACL's voor standaardtoegang.
Nadat u op OK hebt geklikt op de blade Machtigingen selecteren, worden de zojuist toegevoegde groep en de bijbehorende machtigingen nu weergegeven op de blade Access.
Belangrijk
In de huidige release kunt u maximaal 28 vermeldingen hebben onder Toegewezen machtigingen. Als u meer dan 28 gebruikers wilt toevoegen, moet u beveiligingsgroepen maken, gebruikers toevoegen aan beveiligingsgroepen, toegang tot deze beveiligingsgroepen toevoegen voor het Data Lake Storage Gen1-account.
Indien nodig kunt u ook de toegangsmachtigingen wijzigen nadat u de groep hebt toegevoegd. Schakel het selectievakje voor elk machtigingstype (Lezen, Schrijven, Uitvoeren) uit of schakel dit selectievakje in op basis van of u die machtiging wilt verwijderen of toewijzen aan de beveiligingsgroep. Klik op Opslaan om de wijzigingen op te slaan of Verwijderen om de wijzigingen ongedaan te maken.
IP-adresbereik instellen voor gegevenstoegang
Met Data Lake Storage Gen1 kunt u de toegang tot uw gegevensarchief op netwerkniveau verder vergrendelen. U kunt firewall inschakelen, een IP-adres opgeven of een IP-adresbereik definiëren voor uw vertrouwde clients. Zodra deze optie is ingeschakeld, kunnen alleen klanten binnen het gedefinieerde bereik van IP-adressen verbinding maken met de winkel.
Beveiligingsgroepen verwijderen voor een Data Lake Storage Gen1-account
Wanneer u beveiligingsgroepen verwijdert uit Data Lake Storage Gen1-accounts, wijzigt u alleen de toegang tot de beheerbewerkingen voor het account met behulp van de Azure-portal en Azure Resource Manager-API's.
De toegang tot gegevens is ongewijzigd en wordt nog steeds beheerd door de toegangs-ACL's. De uitzondering hierop zijn gebruikers/groepen in de rol Eigenaren. Gebruikers/groepen die zijn verwijderd uit de rol Eigenaren zijn niet langer supergebruikers en hun toegang valt terug tot toegang tot ACL-instellingen.
Klik in het blade van uw Data Lake Storage Gen1-account op Toegangsbeheer (IAM).
Klik op de blade Toegangsbeheer (IAM) op de beveiligingsgroepen die u wilt verwijderen. Klik op Verwijderen.
ACL's voor beveiligingsgroepen verwijderen uit een Data Lake Storage Gen1-bestandssysteem
Wanneer u ACL's voor beveiligingsgroepen verwijdert uit een Data Lake Storage Gen1-bestandssysteem, wijzigt u de toegang tot de gegevens in het Data Lake Storage Gen1-account.
In het Data Lake Storage Gen1-accountblad, klik op Data Explorer.
Klik op de blade Data Explorer op de map waarvoor u de ACL wilt verwijderen en klik vervolgens op Access. Als u ACL's voor een bestand wilt verwijderen, klikt u eerst op het bestand om een voorbeeld te bekijken en klikt u vervolgens op Access in het Bestandsvoorbeeld-paneel.
Klik op de blade Access op de beveiligingsgroep die u wilt verwijderen. Klik op Verwijderen in de Toegangsdetails-blade.
Zie ook
- Overzicht van Azure Data Lake Storage Gen1
- Gegevens kopiëren van Azure Storage-blobs naar Data Lake Storage Gen1
- Azure Data Lake Analytics gebruiken met Data Lake Storage Gen1
- Azure HDInsight gebruiken met Data Lake Storage Gen1
- Aan de slag met Data Lake Storage Gen1 met behulp van PowerShell
- Aan de slag met Data Lake Storage Gen1 met behulp van .NET SDK
- Toegang tot diagnostische logboeken voor Data Lake Storage Gen1