使用 Azure 入口管理 Azure Data Lake Storage 中的 ACL
本文介绍如何使用 Azure 门户来管理已启用分层命名空间功能的存储帐户中目录或 Blob 的访问控制列表 (ACL)。
有关 ACL 结构的信息,请参阅 Azure Data Lake Storage 中的访问控制列表 (ACL)。
若要了解如何结合使用 ACL 和 Azure 角色,请参阅 Azure Data Lake Storage 中的访问控制模型。
先决条件
Azure 订阅。 请参阅获取 Azure 试用版。
已启用分层命名空间功能的存储帐户。 按这些说明创建一个。
必须具备以下安全权限中的一种:
你的用户标识在目标容器、存储帐户、父资源组或订阅范围中已分配有存储 Blob 数据所有者角色。
你是目标容器、目录或 Blob 的所有者用户,并且你计划对它们应用 ACL 设置。
管理 ACL
登录到 Azure 门户即可开始操作。
找到存储帐户并显示帐户概览。
在“数据存储”下选择“容器” 。
存储帐户中的容器随即显示。
导航到任意容器、目录或 Blob。 右键单击对象,然后选择“管理 ACL”。
“管理 ACL”页面的“访问权限”选项卡随即显示 。 使用此选项卡中的控制来管理对对象的访问。
若要将安全主体添加到 ACL,请选择“添加主体”按钮。
提示
安全主体是一个对象,表示在 Microsoft Entra ID 中定义的用户、组、服务主体或托管标识。
使用搜索框查找安全主体,然后选择“选择”按钮。
注意
建议在 Microsoft Entra ID 中创建安全组,然后维护该组的权限,而不是维护各用户的权限。 有关此建议的详细信息以及其他最佳做法,请参阅 Azure Data Lake Storage 中的访问控制模型。
若要管理默认 ACL,选择“默认权限”选项卡,然后选中“配置默认权限”复选框。
提示
默认 ACL 是 ACL 的模板,可确定目录下创建的任何子项的访问 ACL。 Blob 没有默认 ACL,因此此选项卡仅针对目录显示。
以递归方式应用 ACL
可以为父目录的现有子项以递归方式应用 ACL 条目,而不必为每个子项单独进行这些更改。 但不能通过 Azure 门户以递归方式应用 ACL 条目。
若要以递归方式应用 ACL,请使用 Azure 存储资源管理器、PowerShell 或 Azure CLI。 如果希望编写代码,还可以使用 .NET、Java、Python 或 Node.js API。
可以通过下文查找完整的指南列表:如何设置 ACL。
后续步骤
了解 Data Lake Storage 权限模型。