Compartilhar via

Protegendo dados armazenados no Azure Data Lake Storage Gen1

A proteção de dados no Azure Data Lake Storage Gen1 é uma abordagem em três etapas. Tanto o RBAC do Azure (controle de acesso baseado em regra do Azure) quanto ACLs (listas de controle de acesso) devem ser definidos para possibilitar o acesso completo a dados para usuários e grupos de segurança.

  1. Comece criando grupos de segurança no Microsoft Entra ID. Esses grupos de segurança são usados para implementar o RBAC do Azure (controle de acesso baseado em função do Azure) no portal do Azure.
  2. Atribua os grupos de segurança do Microsoft Entra à conta do Data Lake Storage Gen1. Isso controla o acesso à conta do Data Lake Storage Gen1 tanto a partir do portal quanto das operações de gerenciamento via portal ou APIs.
  3. Atribua os grupos de segurança do Microsoft Entra como ACLs (listas de controle de acesso) no sistema de arquivos do Data Lake Storage Gen1.
  4. Além disso, você também pode definir um intervalo de endereços IP para clientes que possam acessar os dados no Data Lake Storage Gen1.

Este artigo fornece instruções sobre como usar o Portal do Azure para realizar as tarefas acima. Para obter informações detalhadas sobre como o Data Lake Storage Gen1 implementa a segurança no nível da conta e dos dados, consulte Segurança no Azure Data Lake Storage Gen1. Para obter informações detalhadas sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte Visão geral do controle de acesso no Data Lake Storage Gen1.

Pré-requisitos

Antes de começar este tutorial, você deve ter o seguinte:

Criar um grupo de segurança no Microsoft Entra ID

Para obter instruções sobre como criar grupos de segurança do Microsoft Entra e como adicionar usuários ao grupo, consulte Gerenciando grupos de segurança na ID do Microsoft Entra.

Observação

Adicione usuários e outros grupos a um grupo no Microsoft Entra ID usando o portal do Azure. No entanto, para adicionar um principal de serviço a um grupo, use o módulo PowerShell do Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Atribuir usuários ou grupos de segurança a contas do Data Lake Storage Gen1

Quando você atribui usuários ou grupos de segurança a contas do Data Lake Storage Gen1, controla o acesso às operações de gerenciamento na conta usando o portal do Azure e as APIs do Azure Resource Manager.

  1. Abra uma conta do Data Lake Storage Gen1. No painel esquerdo, clique em Todos os recursos e, na folha Todos os recursos, clique no nome da conta ao qual você deseja atribuir um usuário ou grupo de segurança.

  2. No painel de sua conta do Data Lake Storage Gen1, clique em Controle de Acesso (IAM). Por padrão, a folha lista os proprietários de assinatura como o proprietário.

    Atribuir grupo de segurança à conta do Azure Data Lake Storage Gen1

  3. Na folha Controle de Acesso (IAM ), clique em Adicionar para abrir a folha Adicionar permissões . Na folha Adicionar permissões , selecione uma Função para o usuário/grupo. Procure o grupo de segurança criado anteriormente no Microsoft Entra ID e selecione-o. Se você tiver muitos usuários e grupos para pesquisar, use a caixa de texto Selecionar para filtrar pelo nome do grupo.

    Adicionar uma função para o usuário

    A função Proprietário e Colaborador fornece acesso a uma variedade de funções de administração na conta do data lake. Para usuários que interagirão com os dados no data lake, mas ainda precisarem exibir informações de gerenciamento de conta, você pode adicioná-los à função Leitor . O escopo dessas funções é limitado às operações de gerenciamento relacionadas à conta do Data Lake armazenamento Gen1.

    Para as operações de dados, as permissões do sistema de arquivos individual definem o que os usuários podem fazer. Portanto, um usuário com uma função de Leitor pode exibir somente as configurações administrativas associadas à conta, mas possivelmente pode ler e gravar dados com base nas permissões de sistema de arquivo atribuídas a ele. As permissões do sistema de arquivos do Data Lake Storage Gen1 são descritas em Atribuir grupo de segurança como ACLs ao sistema de arquivos do Azure Data Lake Storage Gen1.

    Importante

    Somente a função Proprietário habilita automaticamente o acesso ao sistema de arquivos. O Colaborador, o Leitor e todas as outras funções exigem ACLs para habilitar qualquer nível de acesso a pastas e arquivos. A função Proprietário fornece permissões de arquivo e pasta de superusuário que não podem ser substituídas por meio de ACLs. Para obter mais informações sobre como as políticas do RBAC do Azure são mapeadas para acesso a dados, consulte o RBAC do Azure para gerenciamento de contas.

  4. Se você quiser adicionar um grupo/usuário que não esteja listado na folha Adicionar permissões , poderá convidá-los digitando seu endereço de email na caixa de texto Selecionar e, em seguida, selecionando-os na lista.

    Adicionar um grupo de segurança

  5. Clique em Salvar. Você deve ver o grupo de segurança adicionado, como mostrado abaixo.

    Grupo de segurança adicionado

  6. Seu grupo de usuários/segurança agora tem acesso à conta de Armazenamento Data Lake Gen1. Se você quiser fornecer acesso a usuários específicos, adicione-os ao grupo de segurança. Da mesma forma, se você quiser revogar o acesso de um usuário, remova-o do grupo de segurança. Também é possível atribuir vários grupos de segurança a uma conta.

Atribuir usuários ou grupos de segurança como ACLs ao sistema de arquivos Data Lake Storage Gen1

Ao atribuir grupos de usuários / segurança ao sistema de arquivos do Data Lake Storage Gen1, você define o controle de acesso nos dados armazenados no Data Lake Storage Gen1.

  1. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Exibir dados por meio do Data Explorer

  2. No painel Data Explorer, clique na pasta para a qual você deseja configurar a ACL e, em seguida, clique em Acesso. Para atribuir ACLs a um arquivo, primeiro clique no arquivo para visualiza-lo e, em seguida, clique em Acessar na folha Visualização de Arquivo .

    Definir ACLs no sistema de arquivos Data Lake Storage Gen1

  3. A folha Acesso lista os proprietários e as permissões já atribuídas à raiz. Clique no ícone Adicionar para adicionar ACLs de acesso adicionais.

    Importante

    Configurar as permissões de acesso para um único arquivo não concede necessariamente o acesso de um usuário/grupo a esse arquivo. O caminho para o arquivo deve estar acessível para o usuário/grupo atribuído. Para obter mais informações e exemplos, consulte cenários comuns relacionados a permissões.

    Listar acesso padrão e personalizado

    • Os Proprietários e Todos os outros fornecem acesso ao estilo UNIX, em que você especifica ler, gravar, executar (rwx) em três classes de usuário distintas: proprietário, grupo e outras.

    • As permissões atribuídas correspondem às ACLs POSIX que permitem definir permissões para usuários ou grupos nomeados específicos além do proprietário ou grupo do arquivo.

      Para obter mais informações, consulte ACLs do HDFS. Para obter mais informações sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte o Controle de Acesso no Data Lake Storage Gen1.

  4. Clique no ícone Adicionar para abrir a folha Atribuir permissões . Nesta folha, clique em Selecionar usuário ou grupo e, em seguida, na folha Selecionar usuário ou grupo , procure o grupo de segurança criado anteriormente na ID do Microsoft Entra. Se houver muitos grupos para sua pesquisa, use a caixa de texto na parte superior para filtrar pelo nome do grupo. Clique no grupo que você deseja adicionar e clique em Selecionar.

    Adicionar um grupo

  5. Clique em Selecionar permissões, selecione as permissões, se as permissões devem ser aplicadas recursivamente e se você deseja atribuir as permissões como uma ACL de acesso, ACL padrão ou ambas. Clique em OK.

    Captura de tela da folha Atribuir permissões com a opção Selecionar permissões realçada e a folha Selecionar permissões com a opção Ok realçada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs padrão/de acesso, consulte o Controle de Acesso no Data Lake Storage Gen1.

  6. Depois de clicar em Ok na folha Selecionar permissões , o grupo recém-adicionado e as permissões associadas agora serão listados na folha Acesso .

    Captura de tela do painel de Acesso com a opção Engenharia de Dados destacada.

    Importante

    Na versão atual, você pode ter até 28 entradas em permissões atribuídas. Se você quiser adicionar mais de 28 usuários, deverá criar grupos de segurança, adicionar usuários a grupos de segurança, adicionar acesso a esses grupos de segurança para a conta do Data Lake Storage Gen1.

  7. Se for necessário, também é possível modificar as permissões de acesso depois de adicionar o grupo. Marque ou desmarque a caixa de seleção de cada tipo de permissão (Leitura, Gravação, Execução) com base em seu desejo de remover ou atribuir essa permissão ao grupo de segurança. Clique em Salvar para salvar as alterações ou descartar para desfazer as alterações.

Definir o intervalo de endereços IP para acesso a dados

O Data Lake Storage Gen1 permite bloquear ainda mais o acesso ao seu armazenamento de dados no nível da rede. Você pode habilitar o firewall e definir um intervalo de endereços IP para seus clientes confiáveis. Uma vez habilitado, somente os clientes com os endereços IP no intervalo definido poderão se conectar à loja.

Configurações de firewall e acesso IP

Remover grupos de segurança para uma conta do Data Lake Storage Gen1

Quando você remove grupos de segurança das contas do Data Lake Storage Gen1, só está alterando o acesso às operações de gerenciamento na conta usando as APIs do portal do Azure e do Azure Resource Manager.

O acesso a dados permanece inalterado e ainda é gerenciado pelas ACLs. A exceção a isso são os usuários/grupos na função Proprietários. Usuários/grupos removidos do papel de Proprietários não são mais superusuários e seu acesso reverte para as configurações de ACL de acesso.

  1. Na folha de sua conta do Data Lake Storage Gen1, clique em Controle de Acesso (IAM).

    Atribuir grupo de segurança à conta do Data Lake Storage Gen1

  2. Na folha controle de acesso (IAM ), clique nos grupos de segurança que você deseja remover. Clique em Remover.

    Grupo de segurança removido

Remover as ACLs do grupo de segurança de um sistema de arquivos Data Lake Storage Gen1

Quando você remove as ACLs do grupo de segurança de um sistema de arquivos do Data Lake Storage Gen1, altera o acesso aos dados na conta do Data Lake Storage Gen1.

  1. Na folha de sua conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  2. Na folha Data Explorer, clique na pasta para a qual você deseja remover a ACL e clique em Acesso. Para remover ACLs de um arquivo, primeiro clique no arquivo para visualiza-lo e, em seguida, clique no Access na folha Visualização de Arquivo .

    Definir ACLs no sistema de arquivos Data Lake Storage Gen1

  3. Na folha Acesso , clique no grupo de segurança que você deseja remover. Na folha detalhes de Acesso, clique em Remover.

    Captura de tela do painel de Acesso com a opção Engenharia de Dados destacada e o painel de detalhes de acesso com a opção Remover destacada.

Consulte também

  • Last updated on