ADLS Gen2 中针对即将到来的用户的文件夹级访问控制
Folder level access control in ADLS Gen2 for upcoming users
我有一个 Gen2 存储帐户并创建了一个容器。
文件夹结构看起来像这样
StorageAccount
->Container1
->normal-data
->Files 1....n
->sensitive-data
->Files 1....m
我只想为 normal-data 和 NOT sensitive-data
的用户提供 read only access
这可以通过并授予访问安全服务原则来实现。
但这种方式的局限性是用户只能访问设置ACL后加载到目录中的文件,因此不能访问目录中已经存在的文件。
由于这个限制,新用户不能被授予完全读取权限(除非新用户使用相同的服务原则,这在我的用例中不是理想的场景)
请建议ADLS Gen2中的只读访问方法,其中
- 如果文件已经存在于文件夹下并且新用户加入,他应该能够读取文件夹下的所有文件
- 新用户只能访问
normal-data 文件夹,不能访问 sensitive-data
PS : 有一个分配 ACL's recursively 的脚本。但是由于我每天会在 normal-data 文件夹下获得近百万条记录,所以使用递归 ACL 脚本
对我来说是不可行的
您可以创建一个 Azure AD 安全组并授予该组对只读文件夹的只读访问权限。
然后您可以将新用户添加到安全组。
我有一个 Gen2 存储帐户并创建了一个容器。
文件夹结构看起来像这样
StorageAccount
->Container1
->normal-data
->Files 1....n
->sensitive-data
->Files 1....m
我只想为 normal-data 和 NOT sensitive-data
read only access
这可以通过
但这种方式的局限性是用户只能访问设置ACL后加载到目录中的文件,因此不能访问目录中已经存在的文件。
由于这个限制,新用户不能被授予完全读取权限(除非新用户使用相同的服务原则,这在我的用例中不是理想的场景)
请建议ADLS Gen2中的只读访问方法,其中
- 如果文件已经存在于文件夹下并且新用户加入,他应该能够读取文件夹下的所有文件
- 新用户只能访问
normal-data文件夹,不能访问sensitive-data
PS : 有一个分配 ACL's recursively 的脚本。但是由于我每天会在 normal-data 文件夹下获得近百万条记录,所以使用递归 ACL 脚本
您可以创建一个 Azure AD 安全组并授予该组对只读文件夹的只读访问权限。
然后您可以将新用户添加到安全组。