Использование управляемого удостоверения для проверки подлинности База данных SQL в Azure HDInsight

HDInsight добавил параметр Управляемого удостоверения для проверки подлинности баз данных SQL в своих предложениях кластера и обеспечивает более безопасный механизм проверки подлинности.

В этой статье описывается процесс использования параметра Managed Identity (MSI) для проверки подлинности База данных SQL при создании кластера HDInsight.

Параметр Управляемого удостоверения (MI) доступен для следующих баз данных:

Базы данных	Узел от имени базы данных (HoBo)	Создание собственной базы данных (BYO)
Ambari	✅	✅
Куст	✅	✅
Oozie,	✅	✅
Ranger (ESP)	❌	❌

Примечание.

• Управляемое удостоверение (MI) в настоящее время доступно только в общедоступных регионах.
• Параметр MI по умолчанию не включен. Чтобы включить его, отправьте запрос в службу поддержки со сведениями о подписке и регионе.

Внимание

• Рекомендуется не обновлять управляемое удостоверение после восстановления кластера, так как это может нарушить работу кластера.
• При повторном создании MSI с тем же именем пользователи должны повторно создать автономный пользователь и переназначить роли, так как новый MSI будет иметь разные идентификаторы объектов и клиентов, даже если имя остается неизменным.

Действия по использованию управляемого удостоверения во время создания кластера в портал Azure

1. Во время создания кластера перейдите в раздел хранилища и выберите базу данных SQL для Ambari/Hive/Oozie. Выберите управляемое удостоверение в качестве метода проверки подлинности.

   

2. Выберите управляемое удостоверение для проверки подлинности с помощью База данных SQL.

   

3. Создайте автономного пользователя с управляемым удостоверением в соответствующей базе данных SQL.

   Выполните следующие действия в редакторе запросов базы данных SQL Azure, чтобы создать пользователя базы данных и предоставить ему разрешения на чтение и запись. Выполните эти действия для каждой База данных SQL, которую вы собираетесь использовать для различных служб, таких как Ambari, Hive или Oozie.

   Примечание.

   Имя пользователя должно содержать исходное имя MSI, расширенное определяемым пользователем суффиксом. Как рекомендуется, суффикс может включать начальную часть своего идентификатора объекта. Идентификатор объекта управляемого удостоверения можно получить на портале на странице портала управляемых удостоверений.

   Например:

   • Имя MSI: contosoMSI
   • Идентификатор объекта: aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   • user_name может быть contosoMSI-2ba6c

   CREATE USER {user_name} FROM EXTERNAL PROVIDER WITH OBJECT_ID={object id of cluster managed identity};   
   
   ALTER ROLE db_datareader ADD MEMBER {user_name};   
   ALTER ROLE db_ddladmin ADD MEMBER {user_name};   
   ALTER ROLE db_datawriter ADD MEMBER {user_name};   
   

   Примечание.

   Если роли db_executor, db_view_defи db_view_state уже определены в базе данных, вам не нужно продолжать работу с последующим шагом.

   CREATE ROLE db_executor;   
   GRANT EXECUTE TO db_executor;   
   ALTER ROLE db_executor ADD MEMBER {user_name};   
   
   CREATE ROLE db_view_def;   
   GRANT VIEW DEFINITION TO db_view_def;   
   ALTER ROLE db_view_def ADD MEMBER {user_name};   
   CREATE ROLE db_view_db_state;  
   
   GRANT VIEW DATABASE STATE TO db_view_db_state;   
   
   ALTER ROLE db_view_def ADD MEMBER {user_name};  
   

4. После ввода необходимых сведений перейдите к созданию кластера на портале.