次の方法で共有

クラスター アクセスの管理

  • [アーティクル]

大事な

AKS 上の Azure HDInsight は、2025 年 1 月 31 日に廃止されました。 この発表 を通じてについて詳しく知ることができます。

ワークロードの突然の終了を回避するには、ワークロードを Microsoft Fabric または同等の Azure 製品 に移行する必要があります。

大事な

この機能は現在プレビュー段階です。 Microsoft Azure プレビューの 追加使用条件 には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される、より多くの法的条件が含まれています。 この特定のプレビューの詳細については、AKS プレビュー情報 Azure HDInsightを参照してください。 ご質問や機能の提案は、AskHDInsight に詳細を記載してリクエストを送信してください。さらに多くの更新情報については、Azure HDInsight Communityをフォローしてください。

この記事では、AKS クラスター プールとクラスター上の HDInsight のアクセスを管理するために使用できるメカニズムの概要について説明します。 また、ユーザー、グループ、ユーザー割り当てマネージド ID、サービス プリンシパルにアクセス許可を割り当てて、クラスター データ プレーンへのアクセスを有効にする方法についても説明します。

ユーザーがクラスターを作成すると、そのユーザーには、クラスターからアクセスできるデータを使用して操作を実行する権限が付与されます。 ただし、他のユーザーがクラスターでクエリとジョブを実行できるようにするには、クラスター データ プレーンへのアクセスが必要です。

クラスター プールまたはクラスター アクセスの管理 (コントロール プレーン)

クラスター プールまたはクラスター リソースを管理するためのクラスター管理には、AKS と Azure の組み込みロールに関する次の HDInsight を使用できます。

役割 説明
所有者 Azure RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセスを許可します。
投稿者 すべてのリソースを管理するためのフル アクセスを許可しますが、Azure RBAC でロールを割り当てることはできません。
読者 すべてのリソースを表示しますが、変更を加えることはできません。
HDInsight の AKS クラスター プール管理者 クラスター プールを削除する機能を含む、クラスター プールを管理するためのフル アクセスを許可します。
AKS クラスター管理における HDInsight クラスターを削除する機能を含め、クラスターを管理するためのフル アクセスを許可します。

[アクセス制御 (IAM)] ブレードを使用して、クラスター プールとコントロール プレーンのアクセスを管理できます。

Azure portal - Azure RBACを使用して Azure リソースへのアクセス権をユーザーに付与する」を参照してください。

クラスター アクセスの管理 (データ プレーン)

このアクセスにより、次のアクションを実行できます。

  • クラスターを表示し、ジョブを管理します。
  • すべての監視および管理操作。
  • 自動スケールを有効にし、ノード数を更新します。

アクセスは次の目的で制限されます。

  • クラスターの削除。

ユーザー、グループ、ユーザー割り当てマネージド ID、サービス プリンシパルにアクセス許可を割り当ててクラスターのデータ プレーンへのアクセスを有効にするには、次のオプションを使用できます。

Azure portal の使用

アクセス権を付与する方法

次の手順では、他のユーザー、グループ、ユーザー割り当てマネージド ID、およびサービス プリンシパルへのアクセスを提供する方法について説明します。

  1. Azure portal でクラスターの クラスター アクセス ブレードに移動し、の追加をクリックします。

    クラスター へのアクセスをユーザーに提供する方法を示すスクリーンショット。

  2. ユーザー/グループ/ユーザー割り当てマネージド ID/サービス プリンシパルを検索してアクセス権を付与し、[の追加]クリックします。

    クラスター アクセスのメンバーを追加する方法を示すスクリーンショット。

アクセス権を削除する方法

  1. 削除するメンバーを選択し、[]削除[]をクリックします。

    メンバーのクラスター アクセスを削除する方法を示すスクリーンショット。

ARM テンプレートの使用

前提 条件

手順に従って、クラスター ARM テンプレート authorizationProfileclusterProfile セクションのオブジェクトを更新します。

  1. Azure portal の検索バーで、ユーザー/グループ/ユーザー割り当てマネージド ID/サービス プリンシパルを検索します。

    オブジェクト ID を検索する方法を示すスクリーンショット。

  2. オブジェクト ID または プリンシパル IDコピーします。

    オブジェクト ID を表示する方法を示すスクリーンショット。

  3. クラスター ARM テンプレートの authorizationProfile セクションを変更します。

    1. ユーザー/ユーザー割り当てのマネージドID/サービス プリンシパル オブジェクトIDまたはプリンシパルIDを userIds プロパティに追加します。

    2. groupIds プロパティの下に groups オブジェクト ID を追加します。

      "authorizationProfile": {
"userIds": [
             "abcde-12345-fghij-67890",
             "a1b1c1-12345-abcdefgh-12345"
         ],
"groupIds": []
     },

  4. 更新された ARM テンプレートをデプロイして、クラスター内の変更を反映します。 ARM テンプレート デプロイする方法について説明します。