如果 RBAC 权限允许 AD 组级别访问,如何限制用户访问数据湖中文件夹的权限?
How to restrict permission to a user to access a folder in the Data Lake if the RBAC permission allows AD Group level access?
我有一个 AAD 组,允许通过 RBAC 访问数据湖第 2 代。但是,AAD 组中有些人不应该被允许看到某些 files/folders。怎么做到的?
我看到了 ACL,但据我所知,如果 RBAC 已经提供访问权限,则不会评估 ACL。
--> https://docs.microsoft.com/en-us/azure/storage/blobs/data-lake-storage-access-control-model#how-permissions-are-evaluated
不,你不能。
如果 AAD 组在您的存储帐户范围内(包括更高级别的范围)已经具有 RBAC 角色 Storage Blob Data Owner/Storage Blob Data Contributor/Storage Blob Data Reader,则无法限制成员访问内部的 folder/file。
我有一个 AAD 组,允许通过 RBAC 访问数据湖第 2 代。但是,AAD 组中有些人不应该被允许看到某些 files/folders。怎么做到的?
我看到了 ACL,但据我所知,如果 RBAC 已经提供访问权限,则不会评估 ACL。 --> https://docs.microsoft.com/en-us/azure/storage/blobs/data-lake-storage-access-control-model#how-permissions-are-evaluated
不,你不能。
如果 AAD 组在您的存储帐户范围内(包括更高级别的范围)已经具有 RBAC 角色 Storage Blob Data Owner/Storage Blob Data Contributor/Storage Blob Data Reader,则无法限制成员访问内部的 folder/file。