Какие два основных механизма безопасности реализованы в Azure Data Lake Storage Gen2, и что каждый из них контролирует?

Управление доступом на основе ролей (RBAC)

RBAC — это первый уровень безопасности в Azure Data Lake Storage Gen2. Он предоставляет встроенные роли Azure, такие как:

• Reader
• Contributor
• Owner
• Пользовательские роли

RBAC определяет кто может получить доступ к сервису и даёт пользователям права на встроенные инструменты управления, например Azure Data Explorer.

Списки контроля доступа (ACL)

ACL — это второй уровень безопасности. Они обеспечивают детальный контроль над конкретными объектами данных в хранилище.

ACL определяют, какие действия пользователи могут выполнять над отдельными файлами и папками:

• Read — просмотр содержимого файла
• Write — изменение содержимого файла
• Execute — запуск или доступ к ресурсу

Ключевое отличие

Вместе эти два уровня создают комплексную модель безопасности:

• RBAC контролирует доступ на уровне сервиса и административные права
• ACL контролирует доступ на уровне данных и права на конкретные объекты

Такой двухуровневый подход гарантирует, что даже пользователи с широким доступом к сервису через RBAC смогут работать только с теми объектами данных, на которые у них есть явные права по ACL.