Partager via


Mettre à jour les clés d’accès du compte de stockage Azure dans un cluster HDInsight

Dans cet article, découvrez comment effectuer la rotation des clés d’accès du compte de stockage Azure pour les comptes de stockage principal ou secondaire dans Azure HDInsight.

Attention

Le fait d’effectuer directement la rotation de la clé d’accès côté stockage rend le cluster HDInsight inaccessible.

Configuration requise

  • Nous allons utiliser une approche pour effectuer la rotation des clés d’accès principales et secondaires du compte de stockage de manière échelonnée et en alternance pour garantir que le cluster HDInsight est accessible tout au long du processus.

    Voici un exemple d’utilisation des clés d’accès principales et secondaires du stockage ainsi que de la définition de stratégies de rotation sur celles-ci :

    1. Utilisez la clé d’accès 1 sur le compte de stockage lors de la création du cluster HDInsight.
    2. Configurez la stratégie de rotation pour la clé d’accès 2 tous les N jours. Dans le cadre de cette rotation, mettez à jour HDInsight pour utiliser la clé d’accès 1, puis effectuez la rotation de la clé d’accès 2 sur le compte de stockage.
    3. Configurez la stratégie de rotation pour la clé d’accès 1 tous les N/2 jours. Dans le cadre de cette rotation, mettez à jour HDInsight pour utiliser la clé d’accès 2, puis effectuez la rotation de la clé d’accès 1 sur le compte de stockage.
    4. Avec cette approche, la clé d’accès 1 fait l’objet d’une rotation les N/2, 3N/2, etc. jours et la clé d’accès 2 fait l’objet d’une rotation les N, 2N, 3N, etc. jours.
  • Pour configurer la rotation périodique des clés de compte de stockage, consultez Automatiser la rotation d’un secret.

Mettre à jour les clés d’accès du compte de stockage

Utilisez une action de script pour appliquer les modifications en tenant compte des considérations suivantes :

Propriété Valeur
URI de script bash https://hdiconfigactions.blob.core.windows.net/linuxaddstorageaccountv01/update-storage-account-v01.sh
Type(s) de nœud Head
Paramètres ACCOUNTNAME ACCOUNTKEY -p (facultatif)
  • ACCOUNTNAME est le nom du compte de stockage sur le cluster HDInsight.
  • ACCOUNTKEY est la clé d’accès pour ACCOUNTNAME.
  • -p est facultatif. si ce paramètre est spécifié, la clé n’est pas chiffrée et est stockée en texte brut dans le fichier core-site.xml.

Problèmes connus

Le script précédent met directement à jour la clé d’accès côté cluster uniquement et ne renouvelle pas une copie côté fournisseur de ressources HDInsight. Par conséquent, l’action de script hébergée dans le compte de stockage échoue après la rotation de la clé d’accès.

Solution de contournement :

  1. Utilisez/créez un autre compte de stockage dans la même région.

  2. Chargez le script que vous souhaitez exécuter sur ce compte de stockage.

  3. URI SAP créé pour le script avec accès en lecture.

  4. Si votre cluster se trouve dans votre propre réseau virtuel, assurez-vous que votre réseau virtuel autorise l’accès au fichier/script du compte de stockage.

  5. Utilisez cet URI SAP pour exécuter l’action de script.

    Capture d’écran de l’action du script.

Étapes suivantes