Udostępnij za pośrednictwem

Zarządzanie dostępem do klastra

  • Artykuł

Ważny

Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej poprzez to ogłoszenie.

Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.

Ważny

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki użytkowania dla wersji zapoznawczych Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, w wersji zapoznawczej lub innych, które nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz Azure HDInsight w usłudze AKS w wersji zapoznawczej informacji. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie na AskHDInsight, a po więcej aktualizacji obserwuj nas na Społeczność Azure HDInsight.

Ten artykuł zawiera omówienie mechanizmów dostępnych do zarządzania dostępem do usługi HDInsight w pulach klastrów i klastrach usługi AKS. Opisano również, jak przypisywać uprawnienia użytkownikom, grupom, przypisanej przez użytkownika tożsamości zarządzanej i jednostkom usługi, aby umożliwić dostęp do płaszczyzny danych klastra.

Gdy użytkownik tworzy klaster, jest autoryzowany do wykonywania operacji z danymi dostępnymi dla klastra. Jednak aby umożliwić innym użytkownikom wykonywanie zapytań i zadań w klastrze, wymagany jest dostęp do płaszczyzny danych klastra.

Zarządzanie dostępem do puli klastrów lub do klastrów (warstwa sterowania)

Następujące role wbudowane usługi HDInsight w usługach AKS i Azure są dostępne do zarządzania klastrem w celu zarządzania pulą klastrów lub zasobami klastra.

Rola Opis
Właściciel Udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w Azure RBAC.
Współautor Udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie pozwala przypisywać ról w Azure RBAC.
Czytelnik Wyświetl wszystkie zasoby, ale nie pozwala na wprowadzanie żadnych zmian.
Administrator puli klastrów HDInsight na platformie AKS Udziela pełnego dostępu do zarządzania pulą klastrów, w tym możliwość usuwania puli klastrów.
Administrator klastra HDInsight na AKS Udziela pełnego dostępu do zarządzania klastrem, w tym możliwość usunięcia klastra.

Blok Kontroli Dostępu (IAM) można wykorzystać do zarządzania dostępem do puli klastrów i płaszczyzny kontroli.

Zobacz: Udzielanie użytkownikowi dostępu do zasobów platformy Azure przy użyciu witryny Azure Portal — Azure RBAC.

Zarządzanie dostępem do klastra (płaszczyzna danych)

Ten dostęp umożliwia wykonywanie następujących czynności:

  • Wyświetlanie klastrów i zarządzanie zadaniami.
  • Wszystkie operacje monitorowania i zarządzania.
  • Aby włączyć automatyczne skalowanie i zaktualizować liczbę węzłów.

Dostęp jest ograniczony w następujących celach:

  • Usuwanie klastra.

Aby przypisać uprawnienia użytkownikom, grupom, zarządzanym tożsamościom przypisanym użytkownikowi oraz jednostkom usługi, aby umożliwić dostęp do płaszczyzny danych klastra, są dostępne następujące opcje:

Korzystanie z witryny Azure Portal

Jak udzielić dostępu

W poniższych krokach opisano, jak zapewnić dostęp innym użytkownikom, grupom, przypisanej przez użytkownika tożsamości zarządzanej i jednostkom usługi.

  1. Przejdź do bloku dostępu do klastra w witrynie Azure Portal i kliknij pozycję Dodaj.

    Zrzut ekranu przedstawiający sposób zapewniania dostępu użytkownikowi w celu uzyskania dostępu do klastra.

  2. Wyszukaj użytkownika/grupę/tożsamość zarządzaną przypisaną przez użytkownika/jednostkę usługi, aby udzielić dostępu, a następnie kliknij pozycję Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania członka dla dostępu do klastra.

Jak usunąć dostęp

  1. Wybierz członków, które mają zostać usunięte, a następnie kliknij przycisk Usuń.

    Zrzut ekranu przedstawiający sposób usuwania dostępu do klastra dla członka.

Korzystanie z szablonu ARM

Warunki wstępne

  • Działająca usługa HDInsight na klastrze AKS.
  • szablon ARM dla klastra.
  • Znajomość tworzenia i wdrażania szablonów ARM .

Wykonaj kroki, aby zaktualizować obiekt authorizationProfile w sekcji clusterProfile w szablonie ARM klastra.

  1. W pasku wyszukiwania w portalu Azure wyszukaj użytkownika/grupę/tożsamość zarządzaną przypisaną przez użytkownika/jednostkę usługi.

    Zrzut ekranu przedstawiający sposób wyszukiwania identyfikatora obiektu.

  2. Skopiuj identyfikator obiektu lub identyfikator podmiotu .

    Zrzut ekranu przedstawiający sposób wyświetlania identyfikatora obiektu.

  3. Zmodyfikuj sekcję authorizationProfile w szablonie ARM klastra.

    1. Dodaj tożsamość zarządzaną/tożsamość zarządzaną przypisaną przez użytkownika/identyfikator obiektu jednostki usługi lub identyfikator podmiotu zabezpieczeń w obszarze właściwości userIds.

    2. Dodaj identyfikator obiektu grup w obszarze właściwości groupIds.

      "authorizationProfile": {
"userIds": [
             "abcde-12345-fghij-67890",
             "a1b1c1-12345-abcdefgh-12345"
         ],
"groupIds": []
     },

  4. Wdróż zaktualizowany szablon ARM, aby odzwierciedlić zmiany w klastrze. Dowiedz się, jak wdrożyć szablon ARM.