Partilhar via

Proteger dados armazenados no Azure Data Lake Storage Gen1

Proteger dados no Azure Data Lake Storage Gen1 é uma abordagem de três etapas. O controle de acesso baseado em função do Azure (Azure RBAC) e as listas de controle de acesso (ACLs) devem ser definidas para habilitar totalmente o acesso aos dados para usuários e grupos de segurança.

  1. Comece criando grupos de segurança no Microsoft Entra ID. Esses grupos de segurança são usados para implementar o controle de acesso baseado em função do Azure (Azure RBAC) no portal do Azure.
  2. Atribua os grupos de segurança do Microsoft Entra à conta do Data Lake Storage Gen1. Esta configuração controla o acesso à conta do Data Lake Storage Gen1 a partir do portal, bem como as operações de gestão realizadas através do portal ou de APIs.
  3. Atribua os grupos de segurança do Microsoft Entra como listas de controle de acesso (ACLs) no sistema de arquivos Data Lake Storage Gen1.
  4. Além disso, você também pode definir um intervalo de endereços IP para clientes que podem acessar os dados no Data Lake Storage Gen1.

Este artigo fornece instruções sobre como usar o portal do Azure para executar as tarefas acima. Para obter informações detalhadas sobre como o Data Lake Storage Gen1 implementa a segurança no nível da conta e dos dados, consulte Segurança no Azure Data Lake Storage Gen1. Para obter informações detalhadas sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte Visão geral do controle de acesso no Data Lake Storage Gen1.

Pré-requisitos

Antes de começar este tutorial, tem de ter o seguinte:

Criar grupos de segurança no Microsoft Entra ID

Para obter instruções sobre como criar grupos de segurança do Microsoft Entra e como adicionar usuários ao grupo, consulte Gerenciando grupos de segurança no Microsoft Entra ID.

Observação

Você pode adicionar usuários e outros grupos a um grupo no Microsoft Entra ID usando o portal do Azure. No entanto, para adicionar um principal de serviço a um grupo, é necessário usar o módulo PowerShell do Microsoft Entra ID.

# Get the desired group and service principal and identify the correct object IDs
Get-AzureADGroup -SearchString "<group name>"
Get-AzureADServicePrincipal -SearchString "<SPI name>"

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId <Group object ID> -RefObjectId <SPI object ID>

Atribuir usuários ou grupos de segurança a contas do Data Lake Storage Gen1

Ao atribuir usuários ou grupos de segurança a contas do Data Lake Storage Gen1, você controla o acesso às operações de gerenciamento na conta usando o portal do Azure e as APIs do Azure Resource Manager.

  1. Abra uma conta do Data Lake Storage Gen1. No painel esquerdo, clique em Todos os recursos e, na folha Todos os recursos, clique no nome da conta à qual você deseja atribuir um usuário ou grupo de segurança.

  2. No painel da conta Data Lake Storage Gen1, clique em Controle de Acesso (IAM). Por padrão, o painel lista os donos da assinatura como proprietários.

    Atribuir grupo de segurança à conta do Azure Data Lake Storage Gen1

  3. Na Área de trabalho Controle de Acesso (IAM), clique em Adicionar para abrir o painel Adicionar permissões. Na folha Adicionar permissões, selecione uma Função para o usuário/grupo. Procure o grupo de segurança criado anteriormente no Microsoft Entra ID e selecione-o. Se você tiver muitos usuários e grupos para pesquisar, use a caixa de texto Selecionar para filtrar o nome do grupo.

    Adicionar uma função para o usuário

    As funções de Proprietário e Colaborador fornecem acesso a uma variedade de funções de administração na conta data lake. Para os utilizadores que vão interagir com dados no data lake, mas ainda precisam visualizar informações de gestão de contas, pode adicioná-los à função de Leitor. O escopo dessas funções é limitado às operações de gerenciamento relacionadas à conta do Data Lake Storage Gen1.

    Para operações de dados, as permissões individuais do sistema de arquivos definem o que os usuários podem fazer. Portanto, um usuário com uma função de Leitor só pode exibir configurações administrativas associadas à conta, mas pode potencialmente ler e gravar dados com base nas permissões do sistema de arquivos atribuídas a eles. As permissões do sistema de arquivos Data Lake Storage Gen1 são descritas em Atribuir grupo de segurança como ACLs ao sistema de arquivos do Azure Data Lake Storage Gen1.

    Importante

    Somente a função Proprietário habilita automaticamente o acesso ao sistema de arquivos. O Colaborador, o Leitor e todas as outras funções exigem ACLs para habilitar qualquer nível de acesso a pastas e arquivos. A função Proprietário fornece permissões de arquivo e pasta de superusuário que não podem ser substituídas por meio de ACLs. Para obter mais informações sobre como as políticas do Azure RBAC são mapeadas para acesso a dados, consulte Azure RBAC para gerenciamento de contas.

  4. Se quiser adicionar um grupo/usuário que não esteja listado na folha Adicionar permissões , você pode convidá-lo digitando seu endereço de e-mail na caixa de texto Selecionar e selecionando-o na lista.

    Adicionar um grupo de segurança

  5. Clique em Guardar. Você verá o grupo de segurança adicionado conforme mostrado abaixo.

    Grupo de segurança adicionado

  6. Seu grupo de usuário/segurança agora tem acesso à conta do Data Lake Storage Gen1. Se quiser fornecer acesso a usuários específicos, você pode adicioná-los ao grupo de segurança. Da mesma forma, se você quiser revogar o acesso de um usuário, poderá removê-lo do grupo de segurança. Você também pode atribuir vários grupos de segurança a uma conta.

Atribuir usuários ou grupos de segurança como ACLs ao sistema de arquivos Data Lake Storage Gen1

Ao atribuir grupos de usuário/segurança ao sistema de arquivos Data Lake Storage Gen1, você define o controle de acesso nos dados armazenados no Data Lake Storage Gen1.

  1. Na folha da conta do Data Lake Storage Gen1, clique em Data Explorer.

    Ver dados através do Data Explorer

  2. No painel Explorador de Dados, clique na pasta para a qual pretende configurar a ACL e, em seguida, clique em Acesso. Para atribuir ACLs a um arquivo, você deve primeiro clicar no arquivo para visualizá-lo e, em seguida, clicar em Acesso na folha Visualização de Arquivo .

    Definir ACLs no sistema de arquivos Data Lake Storage Gen1

  3. O painel Acesso lista os proprietários e as permissões que já foram atribuídas à raiz. Clique no ícone Adicionar para adicionar ACLs de acesso adicionais.

    Importante

    A definição de permissões de acesso para um único ficheiro não concede necessariamente a um utilizador/grupo acesso a esse ficheiro. O caminho para o arquivo deve estar acessível ao usuário/grupo atribuído. Para obter mais informações e exemplos, consulte Cenários comuns relacionados a permissões.

    Listar acesso padrão e personalizado

    • Os Proprietários e Todos os outros fornecem acesso no estilo UNIX, onde se especifica ler, gravar, e executar (rwx) para três classes de utilizadores distintas: proprietário, grupo e outros.

    • As permissões atribuídas correspondem às ACLs POSIX que permitem definir permissões para usuários ou grupos nomeados específicos além do proprietário ou grupo do arquivo.

      Para obter mais informações, consulte ACLs HDFS. Para obter mais informações sobre como as ACLs são implementadas no Data Lake Storage Gen1, consulte Controle de acesso no Data Lake Storage Gen1.

  4. Clique no ícone Adicionar para abrir a folha Atribuir permissões . Nesta folha, clique em Selecionar usuário ou grupo e, em seguida, na folha Selecionar usuário ou grupo , procure o grupo de segurança criado anteriormente na ID do Microsoft Entra. Se você tiver muitos grupos para pesquisar, use a caixa de texto na parte superior para filtrar o nome do grupo. Clique no grupo que pretende adicionar e, em seguida, clique em Selecionar.

    Adicionar um grupo

  5. Clique em Selecionar permissões, selecione as permissões, se as permissões devem ser aplicadas recursivamente e se você deseja atribuir as permissões como uma ACL de acesso, ACL padrão ou ambas. Clique em OK.

    Captura de ecrã da folha Atribuir permissões com a opção Selecionar permissões realçada e a folha Selecionar permissões com a opção Ok realçada.

    Para obter mais informações sobre permissões no Data Lake Storage Gen1 e ACLs Default/Access, consulte Controle de acesso no Data Lake Storage Gen1.

  6. Depois de clicar em Ok na folha Selecionar permissões , o grupo recém-adicionado e as permissões associadas serão listados na folha Acesso .

    Captura de ecrã do painel Access com a opção Data Engineering destacada.

    Importante

    Na versão atual, você pode ter até 28 entradas em Permissões atribuídas. Se quiser adicionar mais de 28 usuários, crie grupos de segurança, adicione usuários a grupos de segurança, adicione fornecer acesso a esses grupos de segurança para a conta do Data Lake Storage Gen1.

  7. Se necessário, você também pode modificar as permissões de acesso depois de adicionar o grupo. Desmarque ou marque a caixa de seleção para cada tipo de permissão (Ler, Gravar, Executar) com base em se você deseja remover ou atribuir essa permissão ao grupo de segurança. Clique em Salvar para salvar as alterações ou em Descartar para desfazer as alterações.

Definir intervalo de endereços IP para acesso a dados

O Data Lake Storage Gen1 permite que você bloqueie ainda mais o acesso ao seu armazenamento de dados no nível da rede. Você pode habilitar o firewall, especificar um endereço IP ou definir um intervalo de endereços IP para seus clientes confiáveis. Uma vez ativado, apenas os clientes que têm endereços IP dentro do intervalo definido podem conectar-se à loja.

Configurações de firewall e acesso IP

Remover grupos de segurança de uma conta do Data Lake Storage Gen1

Ao remover grupos de segurança das contas do Data Lake Storage Gen1, você está alterando apenas o acesso às operações de gerenciamento na conta usando o portal do Azure e as APIs do Azure Resource Manager.

O acesso aos dados permanece inalterado e ainda é gerenciado pelas ACLs de acesso. A exceção são usuários/grupos na função Proprietários. Os usuários/grupos removidos da função Proprietários não são mais superusuários e seu acesso retorna para acessar as configurações da ACL.

  1. No painel da conta do Data Lake Storage Gen1, clique em Controle de Acesso (IAM).

    Atribuir grupo de segurança à conta do Data Lake Storage Gen1

  2. Na folha de Controle de Acesso (IAM), clique no(s) grupo(s) de segurança que deseja remover. Clique em Remover.

    Grupo de segurança removido

Remover as ACLs de grupos de segurança de um sistema de ficheiros do Data Lake Storage Gen1

Ao remover ACLs de grupo de segurança de um sistema de arquivos Data Lake Storage Gen1, você altera o acesso aos dados na conta Data Lake Storage Gen1.

  1. Na folha da conta do Data Lake Storage Gen1, clique em Data Explorer.

    Criar diretórios na conta do Data Lake Storage Gen1

  2. No painel Explorador de Dados, clique na pasta para a qual pretende remover a ACL e, em seguida, clique em Acesso. Para remover ACLs de um ficheiro, deve primeiro visualizar o ficheiro e, em seguida, clicar em Acesso no painel Visualização de Ficheiro.

    Definir ACLs no sistema de arquivos Data Lake Storage Gen1

  3. Na folha Acesso, clique no grupo de segurança que pretende remover. No painel Detalhes de Acesso, clique em Remover.

    Captura de ecrã da folha Access com a opção Data Engineering realçada e a folha Access details com a opção Remove realçada.

Ver também

  • Last updated on