Gerenciar o acesso ao cluster

  • Artigo

Observação

Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.

Somente o suporte Básico do Azure estará disponível até a data de desativação.

Importante

Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. No caso de perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.

Este artigo fornece uma visão geral dos mecanismos disponíveis para gerenciar o acesso ao HDInsight em clusters e pools de clusters do AKS. Ele também aborda como atribuir permissão a usuários, grupos, identidade gerenciada atribuída pelo usuário e entidades de serviço para habilitar o acesso ao plano de dados do cluster.

Quando um usuário cria um cluster, esse usuário fica autorizado a executar as operações com dados acessíveis ao cluster. No entanto, para permitir que outros usuários executem consultas e trabalhos no cluster, o acesso ao plano de dados do cluster é necessário.

Gerenciar o pool de clusters ou o acesso ao cluster (plano de controle)

As seguintes funções internas do HDInsight no AKS e no Azure estão disponíveis para o gerenciamento de cluster gerenciar o pool de clusters ou os recursos do cluster.

Função Descrição
Proprietário Concede o acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
Colaborador Permite o acesso completo para gerenciar todos os recursos, mas não permite que você atribua funções no Azure RBAC.
Leitor Visualiza todos os recursos, mas não permite a realização de alterações.
Administrador do Pool de Clusters do HDInsight no AKS Concede acesso total para gerenciar um pool de clusters, incluindo a capacidade de excluir o pool de clusters.
Administrador de Cluster do HDInsight no AKS Concede acesso total para gerenciar um cluster, incluindo a capacidade de excluir o cluster.

Você pode usar a folha Controle de acesso (IAM) para gerenciar o acesso ao plano de controle do pool de clusters.

Consulte: Conceder a um usuário acesso aos recursos do Azure usando o portal do Azure – RBAC do Azure.

Gerenciar acesso ao cluster (Plano de Dados)

Esse acesso permite que você execute as seguintes ações:

  • Exiba clusters e gerencie trabalhos.
  • Todas as operações de monitoramento e gerenciamento.
  • Para habilitar a escala automática e atualizar a contagem de nós.

O acesso está restrito a:

  • Exclusão do cluster.

Para atribuir permissão a usuários, grupos, identidade gerenciada atribuída pelo usuário e entidades de serviço para habilitar o acesso ao plano de dados do cluster, as opções a seguir estão disponíveis:

Como usar o portal do Azure

Como conceder acesso

As etapas a seguir descrevem como fornecer acesso a outros usuários, grupos, identidade gerenciada atribuída pelo usuário e entidades de serviço.

  1. Navegue até a folha de Acesso do cluster do cluster no portal do Azure e clique em Adicionar.

    Captura de tela mostrando como fornecer acesso a um usuário para acesso ao cluster.

  2. Pesquise a entidade de serviço/identidade gerenciada atribuída pelo usuário/grupo/usuário para conceder acesso e clique em Adicionar.

    Captura de tela mostrando como adicionar um membro para acesso ao cluster.

Como remover o acesso

  1. Selecione os membros a serem removidos e clique em Remover.

    Captura de tela mostrando como remover o acesso ao cluster de um membro.

Usando o modelo ARM

Pré-requisitos

Execute as etapas para atualizar o objeto authorizationProfile na seção clusterProfile no modelo do ARM do cluster.

  1. Na barra de pesquisa do portal do Azure, pesquise a entidade de serviço/identidade gerenciada atribuída pelo usuário/grupo/usuário.

    Captura de tela mostrando como pesquisar a ID do objeto.

  2. Copie a ID do objeto ou a ID da entidade de segurança.

    Captura de tela mostrando como exibir a ID do objeto.

  3. Modifique a seção authorizationProfile no modelo do ARM do cluster.

    1. Adicione a ID do objeto de entidade de serviço/usuário/identidade gerenciada atribuída pelo usuário ou a ID da entidade de serviço nas propriedades de userIds.

    2. Adicione a ID de Objeto de grupos nas propriedade de groupIds.

      "authorizationProfile": {
"userIds": [
             "abcde-12345-fghij-67890",
             "a1b1c1-12345-abcdefgh-12345"
         ],
"groupIds": []
     },

  4. Implante o modelo do ARM atualizado para refletir as alterações no cluster. Saiba como implantar um modelo do ARM.