面向即将到来的用户的ADLS Gen2中的文件夹级访问控制

Question

我有一个Gen2存储帐户，并创建了一个容器。

文件夹结构如下所示

StorageAccount
  ->Container1
    ->normal-data
      ->Files 1....n
    ->sensitive-data
      ->Files 1....m

我只想把read only access给normal-data和NOT sensitive-data的用户

这可以通过在文件夹级别设置ACL实现，并允许访问安全服务原则。

但是这种方法的局限性是用户只能在ACL建立后才能访问加载到目录中的文件，因此不能访问目录中已经存在的文件。

由于这个限制，新用户无法获得完全读取权限(除非新用户使用相同的服务原则，这在我的usecase中并不是理想的方案)。

请在ADLS Gen2中建议一种只读访问方法，其中

1. 如果文件已经在文件夹下，并且有新用户在板上，那么他应该能够读取文件夹下的所有文件。
2. 新用户应该只访问normal-data文件夹，而不是访问sensitive-data

PS :有一个用于分配ACL's的脚本。但是，由于我每天将在normal-data文件夹下获得近百万条记录，所以使用递归的ACL脚本是不可行的。

Answer 1

您可以创建一个Azure AD安全组，并允许该组只访问只读文件夹。

然后可以将新用户添加到安全组中。

请参阅：https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-groups-create-azure-portal