내 목표는 디렉터리 수준에서 Azure Data Lake Gen 2 저장소 에 대한 액세스를 제한 하는 것입니다 (Microsoft의 약속에 따라 가능해야 함).
나는 두 개의 디렉토리를 data
, 및 sensitive
데이터 호수에서 2 세대 컨테이너입니다. 특정 사용자에게 디렉토리에 대한 읽기 액세스 권한을 부여하고 디렉토리에 data
대한 액세스를 차단 하려고합니다 sensitive
.
설명서 와 함께 해당 사용자 (스토리지 계정 및 데이터 레이크 컨테이너)에 대한 모든 RBAC 할당을 제거하여 디렉터리에 대해 상속 된 읽기 액세스 권한이 없도록했습니다. 그런 다음 data
해당 사용자 의 디렉터리에 Read-ACL 문을 추가했습니다 .
내 기대 :
data
디렉토리 에서 직접 파일을 다운로드 할 수 있습니다 .sensitive
디렉토리의 파일에 액세스 할 수 없습니다.현실 : 데이터 디렉토리에서 파일을 다운로드하려고하면 403 ServiceCode=AuthorizationPermissionMismatch
az storage blob directory download -c containername -s data --account-name XXX --auth-mode login -d "./download" --recursive
RESPONSE Status: 403 This request is not authorized to perform this operation using this permission.
이것이 효과가있을 것으로 기대합니다. 기타 스토리지 Blob Reader 역할을 할당해야만 액세스 권한을 부여 할 수 있지만 이는 컨테이너 내의 모든 디렉터리 및 파일에 적용되며 ACL 문으로 덮어 쓸 수 없습니다. 내가 여기서 뭔가 잘못 했니?
내 연구에 따르면 보안 주체에게 파일에 대한 읽기 액세스 권한을 부여하려면 보안 주체에게 컨테이너와 파일로 이어지는 폴더 계층의 각 폴더에 대한 실행 권한을 부여해야합니다. 자세한 내용은 문서 를 참조하십시오
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다