2

首先是一些背景知识: 我想促进对 Azure Data Lake gen 2 中不同数据科学家组的访问。但是,我们不想让他们访问整个数据湖,因为他们不应该看到所有数据安全原因。他们必须只能看到一些有限的文件/文件夹。我们通过将数据科学家的 AAD 组添加到数据湖文件夹的 ACL 来做到这一点。您可以参考以下链接以获得更多见解并了解我在说什么: https ://docs.microsoft.com/en-us/azure/storage/blobs/data-lake-storage-access-control

现在的问题是: 由于数据科学家被授予访问非常特定/有限区域的权限,因此他们能够使用 Azure 数据块(python 命令/代码等)访问/浏览这些文件夹/文件。但是,他们无法使用 Azure 存储资源管理器进行浏览。那么有什么方法可以让他们使用 Azure 存储资源管理器或其他一些 GUI 工具浏览数据湖。或者是否可以为这种场景创建一些自定义角色并将该角色授予数据科学家 AAD 组,以便他们可以访问特定区域(即,可以创建的自定义角色只有“执行”访问 ADLS gen 2 文件系统。)

4

2 回答 2

1

据我所知,我们无法使用 RABC 角色来控制对文件系统(容器)中某些文件夹的访问。因为当我们将角色分配给 ADD 组时,我们需要定义一个范围。Azure 数据湖 gen2 中的最小范围是文件系统(容器)。如果你只是想控制它的访问,你不需要创建自定义角色,你可以直接使用内置角色Storage Blob Data Reader。如果一个用户拥有该角色,他可以读取文件系统中的所有文件。更多详细信息,请参阅文档

于 2020-03-20T03:24:49.340 回答
0

只有分配了 ACL 权限,才能通过存储资源管理器访问数据。不幸的是,您需要将 ACL 与在存储帐户级别(例如阅读器)分配的 RBAC 角色结合使用,才能从存储资源管理器中查看存储帐户本身。然后,您可以在特定容器/文件夹/文件上使用 ACL 引入细粒度权限,但是使用 Reader,他们仍然可以看到存储帐户中所有容器的名称(但在通过 ACL 或 Data RBAC 指定之前无法看到容器内容容器级别的分配)。正如您所注意到的,仅使用 ACL 权限访问特定文件夹/文件的唯一选项是通过代码,例如 Powershell 或 Python。

于 2020-08-05T10:12:12.513 回答