使用 Azure 门户管理 Azure Data Lake Storage Gen2 中的 ACL

  • 项目

本文介绍如何使用 Azure 门户来管理已启用分层命名空间功能的存储帐户中目录或 Blob 的访问控制列表 (ACL)。

有关 ACL 结构的详细信息,请参阅 Azure Data Lake Storage Gen2 中的访问控制列表 (ACL)

若要了解如何结合使用 ACL 和 Azure 角色,请参阅 Azure Data Lake Storage Gen2 中的访问控制模型

先决条件

  • Azure 订阅。 请参阅获取 Azure 试用版

  • 已启用分层命名空间功能的存储帐户。 按这些说明创建一个。

  • 必须具备以下安全权限中的一种:

    • 你的用户标识在目标容器、存储帐户、父资源组或订阅范围中已分配有存储 Blob 数据所有者角色。

    • 你是目标容器、目录或 Blob 的所有者用户,并且你计划对它们应用 ACL 设置。

管理 ACL

  1. 登录到 Azure 门户即可开始操作。

  2. 找到存储帐户并显示帐户概览。

  3. 在“数据存储”下选择“容器” 。

    存储帐户中的容器随即显示。

    location of storage account containers in the Azure portal

  4. 导航到任意容器、目录或 Blob。 右键单击对象,然后选择“管理 ACL”。

    context menu for managing an acl

    “管理 ACL”页面的“访问权限”选项卡随即显示 。 使用此选项卡中的控制来管理对对象的访问。

    access ACL tab of the Manage ACL page

  5. 若要将安全主体添加到 ACL,请选择“添加主体”按钮。

    提示

    安全主体是一个对象,表示在 Microsoft Entra ID 中定义的用户、组、服务主体或托管标识。

    使用搜索框查找安全主体,然后选择“选择”按钮。

    Add a security principal to the ACL

    注意

    建议在 Microsoft Entra ID 中创建安全组,然后维护该组的权限,而不是维护各用户的权限。 有关此建议以及其他最佳做法的详细信息,请参阅 Azure Data Lake Storage Gen2 中的访问控制模型

  6. 若要管理默认 ACL,选择“默认权限”选项卡,然后选中“配置默认权限”复选框 。

    提示

    默认 ACL 是 ACL 的模板,可确定目录下创建的任何子项的访问 ACL。 Blob 没有默认 ACL,因此此选项卡仅针对目录显示。

    default ACL tab of the Manage ACL page

以递归方式应用 ACL

可以为父目录的现有子项以递归方式应用 ACL 条目,而不必为每个子项单独进行这些更改。 但不能通过 Azure 门户以递归方式应用 ACL 条目。

若要以递归方式应用 ACL,请使用 Azure 存储资源管理器、PowerShell 或 Azure CLI。 如果希望编写代码,还可以使用 .NET、Java、Python 或 Node.js API。

可以通过下文查找完整的指南列表:如何设置 ACL

后续步骤

了解 Data Lake Storage Gen2 权限模型。

Azure Data Lake Storage Gen2 中的访问控制模型