Контроль доступа на уровне папки в ADLS Gen2 для будущих пользователей
У меня есть учетная запись хранения Gen2, и я создал контейнер.
Структура папки выглядит примерно так
StorageAccount
->Container1
->normal-data
->Files 1....n
->sensitive-data
->Files 1....m
Я хочу дать read only access пользователю только для normal-data а также NOT sensitive-data
Этого можно достичь, установив ACL на уровне папки и предоставив доступ к принципу службы безопасности.
Но ограничение этого подхода заключается в том, что пользователь может получить доступ только к файлам, которые загружены в каталог после настройки ACL, следовательно, не может получить доступ к файлам, которые уже присутствуют внутри каталога.
Из-за этого ограничения новым пользователям не может быть предоставлен полный доступ для чтения (если только новые пользователи не используют тот же принцип обслуживания, что не является идеальным сценарием в моем случае использования)
Пожалуйста, предложите метод доступа только для чтения в ADLS Gen2, где
- Если файлы уже присутствуют в папке и подключен новый пользователь, он должен иметь возможность читать все файлы в папке.
- Новый пользователь должен получить доступ только к
normal-dataпапку, а НЕ вsensitive-data
PS: Есть скрипт для рекурсивного назначения ACL. Но поскольку я буду приближаться к миллиону записей каждый день подnormal-data папку, мне было бы невозможно использовать рекурсивный скрипт ACL
1 ответ
Вы можете создать группу безопасности Azure AD и предоставить этой группе доступ только для чтения к папке только для чтения.
Затем вы можете добавлять новых пользователей в группу безопасности.