はじめに
Azure Data Lake Storage Gen 2 (以下,ADLS)へのショートカットを作ると、ショートカット先にアクセス権のない人でもアクセスできるようになるので、ADLSから見たときに誰がどのようにアクセスしたことになってるのか確認してみました。
注意:2024/02/07時点の情報です
確認
Azure Portal での操作
はじめに、普通に使ったときのログの確認から。Azure Portal を通じて、ADLS上にファイルを置いた際のログです。私の開発用アカウントlocaldevがどこから何をしたのかが見えています。※Put BlobがBlob APIによるファイル配置
ショートカット作成からファイル配置
次にショートカットを組織アカウントによる認証で作成し、ファイルを置いた際のログです。
Log Analytics からは以下のようなログを切り取ってみました。ListFilesystemDirあたりがショートカット作成と思われます。
DelegationSASが使われており、誰が実施したかは不明になっていることがわかります。
※CreatePathFile~FlushFileの一連の流れがADLSのAPIによるファイル配置
また、一連の操作の送信元のIPが内部IPだけになっていることからもFabric からのアクセスが、ユーザー委任SASで実行されていることがわかります。
ちなみにこのあと何回かファイル表示をすると、そのたびに埋め込まれた資格情報によりGetUserDelegationKeyでユーザー委任SASを取得して認証に使っていました。
わかったこと
現状、ショートカット先での監査は不十分になるので注意。
想定通りですが、SSOできるようにしてもらうか、レイクハウス上で操作内容を取得できるようにしてほしい
少なくともLakehouse上の監査は将来的には来るとは思います。(以下が想定するものは可はさておき)