クラスター アクセスを管理する

  • [アーティクル]

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」に記載されています。 この特定のプレビューの詳細については、「Azure HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新については、Azure HDInsight コミュニティのフォローをお願いいたします。

この記事では、HDInsight on AKS のクラスター プールとクラスターに対するアクセスを管理するために使用できるメカニズムの概要について説明します。 また、クラスター データ プレーンにアクセスできるようにするため、ユーザー、グループ、ユーザー割り当てマネージド ID、サービス プリンシパルにアクセス許可を割り当てる方法についても説明します。

クラスターを作成したユーザーには、クラスターからアクセスできるデータに対して操作を実行する権限が付与されます。 一方、他のユーザーがクラスターでクエリやジョブを実行できるようにするには、クラスター データ プレーンにアクセスする必要があります。

クラスター プールまたはクラスターのアクセスを管理する (コントロール プレーン)

クラスター プールまたはクラスター リソースを管理するためのクラスター管理には、HDInsight on AKS と Azure の次の組み込みロールを使用できます。

Role 説明
所有者 Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。
Contributor すべてのリソースを管理するためのフル アクセスは許可されますが、Azure RBAC でのロールの割り当ては許可されません。
閲覧者 すべてのリソースを表示できますが、変更を行うことは許可されません。
HDInsight on AKS クラスター プール管理者 クラスター プールを削除する機能を含む、クラスター プールを管理するためのフル アクセスが許可されます。
HDInsight on AKS クラスター管理者 クラスターを削除する機能を含む、クラスターを管理するためのフル アクセスが許可されます。

[アクセス制御 (IAM)] ブレードを使って、クラスター プールとコントロール プレーンに対するアクセスを管理できます。

Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する - Azure RBAC」をご覧ください。

クラスター アクセスを管理する (データ プレーン)

このアクセスにより、次のアクションを実行できます。

  • クラスターを表示し、ジョブを管理する。
  • すべての監視および管理操作。
  • 自動スケーリングを有効にし、ノード数を更新する。

以下についてはアクセスが制限されます。

  • クラスターの削除。

クラスターのデータ プレーンにアクセスできるようにするため、ユーザー、グループ、ユーザー割り当てマネージド ID、サービス プリンシパルにアクセス許可を割り当てるには、次のオプションを使用できます。

Azure portal を使用

アクセスを許可する方法

次の手順では、他のユーザー、グループ、ユーザー割り当てマネージド ID、サービス プリンシパルにアクセスを提供する方法について説明します。

  1. Azure portal でクラスターの [クラスター アクセス] ブレードに移動して、[追加] をクリックします。

    ユーザーにクラスターへのアクセス権限を付与する方法を示すスクリーンショット。

  2. アクセスを許可するユーザー、グループ、ユーザー割り当てマネージド ID、またはサービス プリンシパルを検索して、[追加] をクリックします。

    クラスターにアクセスできるメンバーを追加する方法を示すスクリーンショット。

アクセス権を削除する方法

  1. 削除するメンバーを選んで、[削除] をクリックします。

    メンバーからクラスターへのアクセス権限を削除する方法を示すスクリーンショット。

ARM テンプレートの使用

前提条件

クラスター ARM テンプレートの clusterProfile セクションで authorizationProfile オブジェクトを更新する手順に従います。

  1. Azure portal の検索バーで、ユーザー、グループ、ユーザー割り当てマネージド ID、またはサービス プリンシパルを検索します。

    オブジェクト ID を検索する方法を示すスクリーンショット。

  2. [オブジェクト ID] または [プリンシパル ID] をコピーします。

    オブジェクト ID を表示する方法を示すスクリーンショット。

  3. クラスター ARM テンプレートの authorizationProfile セクションを変更します。

    1. ユーザー、ユーザー割り当てマネージド ID、またはサービス プリンシパルのオブジェクト ID またはプリンシパル ID は、userIds プロパティに追加します。

    2. グループのオブジェクト ID は、groupIds プロパティに追加します。

      "authorizationProfile": {
"userIds": [
             "abcde-12345-fghij-67890",
             "a1b1c1-12345-abcdefgh-12345"
         ],
"groupIds": []
     },

  4. 更新した ARM テンプレートをデプロイして、クラスターに変更を反映します。 ARM テンプレートをデプロイする方法を確認してください。