0

我有一个 Gen2 存储帐户并创建了一个容器。

文件夹结构看起来像这样

StorageAccount
  ->Container1
    ->normal-data
      ->Files 1....n
    ->sensitive-data
      ->Files 1....m

我只想给read only access用户normal-dataNOT sensitive-data

这可以通过在文件夹级别设置 ACL并授予对安全服务原则的访问权限来实现。

但是这种方法的局限性是用户只能访问在设置 ACL 后加载到目录中的文件,因此无法访问目录中已经存在的文件。

因为这个限制,不能给新用户完全读取权限(除非新用户使用相同的服务原则,这在我的用例中不是理想的场景)

请建议 ADLS Gen2 中的只读访问方法,其中

  1. 如果文件夹下已经存在文件并且新用户已加入,他应该能够读取文件夹下的所有文件
  2. 新用户应该只能访问normal-data文件夹而不是sensitive-data

PS:有一个用于递归分配 ACL 的脚本。但是由于我每天都会在normal-data文件夹下获得近百万条记录,因此使用递归 ACL 脚本对我来说是不可行的

4

1 回答 1

1

您可以创建一个 Azure AD 安全组并授予该组对只读文件夹的只读访问权限。

然后您可以将新用户添加到安全组。

请参阅:https ://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-groups-create-azure-portal

于 2020-07-05T17:58:05.290 回答