使用 Azure 存储资源管理器管理 Azure Data Lake Storage 中的 ACL

本文介绍如何使用 Azure 存储资源管理器在启用了分层命名空间 (HNS) 的存储帐户中管理访问控制列表 (ACL)。

可以使用存储资源管理器来查看然后更新目录和文件的 ACL。 ACL 继承已可用于在父目录下创建的新子项。 但还可为父目录的现有子项以递归方式应用 ACL 设置,而不必为每个子项单独进行这些更改。

本文介绍如何修改文件或目录的 ACL,以及如何以递归方式将 ACL 设置应用于子目录。

先决条件

  • Azure 订阅。 请参阅获取 Azure 试用版

  • 已启用分层命名空间 (HNS) 的存储帐户。 按这些说明创建一个。

  • 已在本地计算机上安装了 Azure 存储资源管理器。 若要安装适用于 Windows、Macintosh 或 Linux 的 Azure 存储资源管理器,请参阅 Azure 存储资源管理器

  • 必须具备以下安全权限中的一种:

    • 你的用户标识在目标容器、存储帐户、父资源组或订阅范围中已分配有存储 Blob 数据所有者角色。

    • 你是目标容器、目录或 Blob 的所有者用户,并且你计划对它们应用 ACL 设置。

注意

使用 Azure Data Lake Storage 时,存储资源管理器同时使用 Blob (blob) & 数据湖存储Data Lake Storage (dfs) 终结点。 如果使用专用终结点配置了对 Azure Data Lake Storage 的访问,请确保为存储帐户创建两个专用终结点:一个包含目标子资源 blob,另一个包含目标子资源 dfs

登录到存储资源管理器

首次启动存储资源管理器时,将会显示“Microsoft Azure 存储资源管理器 - 连接到 Azure 存储”窗口。 尽管存储资源管理器提供了几种连接到存储帐户的方法,但是目前只有一种方法支持管理 ACL。

在“选择资源”面板中,选择“订阅” 。

屏幕截图显示了“Microsoft Azure 存储资源管理器 - 选择资源”窗格

在“选择 Azure 环境”面板中,选择要登录到的 Azure 环境。 你可以登录到全球 Azure、区域云和 Azure Stack 实例。 然后,选择“下一步”。

屏幕截图显示了 Microsoft Azure 存储资源管理器,并突出显示了“选择 Azure 环境”选项。

存储资源管理器将打开一个登录网页。

使用 Azure 帐户成功登录后,该帐户以及与之关联的 Azure 订阅将显示在“帐户管理”下。 选择要使用的 Azure 订阅,然后选择“打开资源管理器”。

屏幕截图显示了 Microsoft Azure 存储资源管理器,并突出显示了“帐户管理”窗格和“打开资源管理器”按钮。

完成连接后,将会加载 Azure 存储资源管理器并显示“资源管理器”选项卡。 通过此视图,你可以深入了解所有 Azure 存储帐户以及通过 Azurite 存储模拟器Azure Stack 环境配置的本地存储。

“Microsoft Azure 存储资源管理器 - 连接”窗口

管理 ACL

右键单击容器、目录或文件,然后选择“管理访问控制列表”。 下面的屏幕截图显示了右键单击目录时出现的菜单。

在 Azure 存储资源管理器中右键单击目录

“管理访问权限”对话框可以管理所有者和所有者组的权限。 它还可以将新用户和组添加访问控制列表中,然后你可以管理其权限。

“管理访问权限”对话框

要将新用户或组添加到访问控制列表中,请选择“添加”按钮。 输入要添加到列表中的相应 Microsoft Entra 条目,然后选择“添加”。 用户或组随即出现在“用户和组:”字段中,然后便可开始管理其权限 。

注意

建议的最佳做法是在 Microsoft Entra ID 中创建一个安全组,并维护该组而不是单个用户的权限。 有关此建议的详细信息以及其他最佳做法,请参阅 Azure Data Lake Storage 中的访问控制模型

使用复选框控件可以设置访问权限和默认 ACL。 若要详细了解这些 ACL 类型之间的差异,请参阅 ACL 类型

以递归方式应用 ACL

可以为父目录的现有子项以递归方式应用 ACL 条目,而不必为每个子项单独进行这些更改。

若要以递归方式应用 ACL 条目,请右键单击容器或目录,然后选择“传播访问控制列表”。 下面的屏幕截图显示了右键单击目录时出现的菜单。

注意

传播访问控制”列表选项仅在存储资源管理器 1.28.1 或更高版本中可用。

右键单击目录,并选择“传播访问控制”设置

后续步骤

了解 Data Lake Storage 权限模型。