个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我目前正在 Azure 中构建数据湖(Gen2)。我使用 Terraform 来配置所有资源。但是,我遇到了一些权限不一致的情况。根据documentation ,可以通过 RBAC 和 ACL 为数据湖设置权限。
我的选择是使用 ACL,因为它允许对数据湖内的目录进行细粒度的权限。在数据湖中,我在其他目录中创建了一个目录 raw,其中某个组 具有 r--(只读)默认权限。 default表示该目录下的所有对象都被赋予与该目录相同的权限。当该组中的用户尝试使用存储资源管理器访问数据湖时,他们看不到存储帐户,也看不到目录所在的实际文件系统/容器。因此他们无法访问他们具有只读权限的目录。
所以我正在考虑分配至少列出存储帐户和文件系统(容器)所需的权限。通过评估现有角色,我获得了以下权限:
Microsoft.Storage/storageAccounts/listKeys/actionMicrosoft.Storage/storageAccounts/read申请权限1后,没有任何变化。同样应用权限 2 后,组中的用户突然可以在数据湖中执行所有操作,就好像没有指定 ACL 一样。
我现在的问题是:如何使用 ACL(和 RBAC)创建一个数据湖,其中的目录对不同的组具有不同的权限,以便组实际上只能读取或写入 ACL 中的那些目录?此外,他们应该能够列出他们有权访问某些目录的存储帐户和文件系统(容器)。
最佳答案
我相信您还需要在整个文件夹层次结构上创建访问 ACL,直至您尝试读取的文件或文件夹,包括根容器。
因此,如果您的文件夹“raw”是在顶层创建的,那么您需要为该组创建以下 ACL...
"/" --x (access)
"/raw" r-x (access)
"/raw" r-x (default)
...然后默认 ACL 将为该组提供对创建的所有子文件夹和文件的读取和执行 ACL。
您还需要至少向该组授予对该资源的 Reader RBAC 权限 - 这可以是在存储帐户上,如果您想限制对其他容器的访问,则可以仅在容器上。
您可以使用 azurerm_storage_data_lake_gen2_filesystem 的 ace 属性在容器上设置 ACL。 Terraform 资源,然后使用 azurerm_storage_data_lake_gen2_path 在文件夹上设置 ACL地形资源。
以下示例中,我将 Azure Active Directory 的 object_id 存储在名为 aad_group_object_id 的变量中。
# create the data lake
resource "azurerm_storage_account" "data_lake" {
....
}
# create a container named "acltest" with execute ACL for the group
resource "azurerm_storage_data_lake_gen2_filesystem" "data_lake_acl_test" {
name = "acltest"
storage_account_id = azurerm_storage_account.data_lake.id
ace {
type = "group"
scope = "access"
id = var.aad_group_object_id
permissions = "--x"
}
}
# create the folder "raw" and give read and execute access and default permissions to group
resource "azurerm_storage_data_lake_gen2_path" "folder_raw" {
path = "raw"
filesystem_name = azurerm_storage_data_lake_gen2_filesystem.data_lake_acl_test.name
storage_account_id = azurerm_storage_account.data_lake.id
resource = "directory"
ace {
type = "group"
scope = "access"
id = var.aad_group_object_id
permissions = "r-x"
}
ace {
type = "group"
scope = "default"
id = var.aad_group_object_id
permissions = "r-x"
}
}
我没有将其包含在代码示例中,但您还必须为添加到根容器和子文件夹的所属组、所有者、掩码和其他身份添加 ACL。否则,您会在 Terraform 计划中不断看到它每次都尝试删除并重新创建它们。
您可以直接添加它 - 不幸的是,您需要将其添加到您创建的每个文件夹中,除非有人知道解决此问题的方法。
ace {
permissions = "---"
scope = "access"
type = "other"
}
ace {
permissions = "r-x"
scope = "access"
type = "group"
}
ace {
permissions = "r-x"
scope = "access"
type = "mask"
}
ace {
permissions = "rwx"
scope = "access"
type = "user"
}
关于Azure Data Lake 存储 Gen2 权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65320656/
25
4
0
我已经为 NetCDF 文件实现了一个自定义提取器,并在输出变量之前将变量加载到内存中的数组中。有些数组可能很大,所以我想知道 ADLA 中的内存限制是多少。您是否可以分配最大内存量? 最佳答案 每个
准则是什么,或者我们在哪里可以找到设计系统以实现最佳并行性的准则。我知道数据被拆分到各个节点并为此进行了优化。 我在文件中的数据目前包含多个客户、站点、产品和用户。我需要按客户、站点、产品进行聚合,这
我拥有一个 Azure Data Lake gen2,其数据按日期时间嵌套文件夹进行分区。 我想向我的团队提供 Delta Lake 格式,但我不确定是否应该创建一个新的存储帐户并将数据复制为 Del
我不想将 ADL 和 ADLA 用作黑匣子。我需要了解齿轮如何在引擎盖下旋转才能有效地使用它。 我在哪里可以找到描述内部结构的信息: 如何处理 U-SQL 查询 并行性是如何工作的 如何在 ADL 中
在为 Azure 存储帐户开发时,我可以运行 Microsoft Storage Emulator 来在本地保留 Blob、队列和表,而无需在线连接到 Azure。 Azure Data Lake S
我正在尝试针对 AzureStorageEmulator 为我的 Azure Data Lake Storage (v1) 存储库编写单元测试。这可能吗?如果是这样,创建客户端的参数应该使用什么?另外
我正在 Azure Synapse 中构建 Lakehouse 架构,并且对使用 Delta-lake 还是 Lake 数据库犹豫不决。 两者似乎具有大致相同的功能 - 我可以使用 Spark 执行
我正在 Azure Synapse 中构建 Lakehouse 架构,并且对使用 Delta-lake 还是 Lake 数据库犹豫不决。 两者似乎具有大致相同的功能 - 我可以使用 Spark 执行
我有很多已完成的工作堆积如山,所以我想清理它们。 Should we delete DataLake Analytic Job after completion? 的答案似乎表明可以删除作业,但我不知
我需要将所有数据从 Azur 数据湖 Gen1 迁移到 Lake Gen2。在我的湖中,我们混合了不同类型的文件(.txt、.zip、.json 等)。我们希望将它们按原样移至 GEN2 湖。除此之外
我想每天在 azure 数据湖中执行一个查询。我们可以在 azure 数据湖中安排 U-SQL 查询吗? 最佳答案 目前,Data Lake Analytics 中没有内置方式来安排 U-SQL 作业
我正在尝试从事件中心捕获生成的 AVRO 文件中提取数据。在大多数情况下,这可以完美地工作。但是某些文件给我带来了问题。当我运行以下 U-SQL 作业时,出现错误: USE DATABASE Metr
我对在 Azure 上创建存储帐户时可用的选项感到困惑,正在寻求澄清。 如果我从 Azure 市场创建新的“存储帐户”(标准层),系统会在高级设置中激活“Data Lake Storage Gen2”
Azure Data Lake 是否存储公共(public)数据集以与 Azure Data Lake Analytics 一起使用? Google BigQuery 提供了类似的公共(public)
我是 Azure 新手,因此尝试了解何时以及如何使用哪些服务。 目前,我有一个 Excel 文件,其中有几个选项卡,需要进行一些转换才能创建一个 Excel 文件选项卡(在源文件本身内 - 比如说选项
Delta Lake 在哪里存储表元数据信息。我在我的独立机器上使用 spark 2.6(不是 Databricks)。我的假设是,如果我重新启动 spark,将删除在 delta lake spar
是否可以在本地实现三角洲湖?如果是,需要安装什么软件/工具? 我正在尝试在内部实现一个 delta 湖来分析一些日志文件和数据库表。我当前的机器装有 ubuntu,apache spark。不确定还需
Delta Lake 每 10 个版本自动创建一个检查点。有没有办法手动创建检查点? 最佳答案 import org.apache.spark.sql.delta.DeltaLog DeltaLog.
我有一个以 delta 格式存储到 Adls 中的数据框,现在当我尝试将新的更新行附加到该 delta Lake 时,有什么方法可以删除 delta 中的旧现有记录并添加新记录更新记录。 Delta
我正在尝试从头开始构建“数据湖”。我了解数据湖的工作原理和目的。遍布互联网。但是,当出现问题时,如何从头开始构建一个问题就没有了。我想了解是否: Data warehouse + Hadoop = D
我是一名优秀的程序员,十分优秀!