Leer en inglés

Compartir a través de


Descripción de las diferencias de plataforma para la carga de trabajo de flujo de trabajo controlada por eventos (EDW)

Antes de replicar la carga de trabajo de EDW en Azure, asegúrese de tener una comprensión sólida de las diferencias operativas entre las plataformas de AWS y Azure.

En este artículo se describen algunos de los conceptos clave de esta carga de trabajo y se proporcionan vínculos a recursos para obtener más información.

Administración de identidades y acceso

La carga de trabajo EDW de AWS usa un rol de Administración de identidad y acceso (IAM) de AWS asumido por el servicio EKS. Este rol se asigna a pods de EKS para permitir el acceso a recursos de AWS, como colas o bases de datos, sin necesidad de almacenar credenciales.

Azure implementa control de acceso basado en rol (RBAC) de forma diferente a AWS. En Azure, las asignaciones de roles están asociadas a una entidad de seguridad (usuario, grupo, identidad administrada o entidad de servicio) y esa entidad de seguridad está asociada a un recurso.

Autenticación entre servicios

La carga de trabajo EDW de AWS usa la comunicación de servicios para conectarse con una cola y una base de datos. En EKS de AWS se usa AssumeRole, una característica de IAM, a fin de adquirir credenciales de seguridad temporales para acceder a los usuarios, aplicaciones o servicios de AWS. Esta implementación permite a los servicios asumir un rol de IAM que concede acceso específico, lo que proporciona interacciones seguras y limitadas entre los servicios.

Para el acceso a las bases de datos Amazon Simple Queue Service (SQS) y Amazon DynamoDB mediante la comunicación de servicios, el flujo de trabajo de AWS usa AssumeRole con EKS, que es una implementación de la proyección de volumen de token de cuenta de servicio de Kubernetes. En la carga de trabajo EDW de EKS, una configuración permite que una cuenta de servicio de Kubernetes asuma un rol de Administración de identidad y acceso (IAM) de AWS. Los pods configurados para usar la cuenta de servicio pueden acceder a cualquier servicio de AWS para el que el rol tenga permisos de acceso. En la carga de trabajo de EDW, se definen dos directivas de IAM a fin de conceder permisos para acceder a Amazon DynamoDB y Amazon SQS.

Con AKS, puede usar Microsoft Entra Managed Identity con Microsoft Entra Workload ID.

Se crea una identidad administrada asignada al usuario y se le concede acceso a una Tabla de Almacenamiento de Azure asignándole el rol Contribuidor de Datos de Tabla de Almacenamiento. A la identidad administrada también se le concede acceso a una Azure Storage Queue asignándole el rol Storage Queue Data Contributor. Estas asignaciones de roles se limitan a recursos específicos, lo que permite a la identidad administrada leer mensajes en una cola de Azure Storage específica y escribirlos en una tabla de Azure Storage específica. A continuación, la identidad administrada se asigna a una identidad de carga de trabajo de Kubernetes que se asociará a la identidad de los pods donde se implementan los contenedores de aplicaciones. Para obtener más información, consulte Usar el identificador de carga de trabajo de Microsoft Entra con AKS.

En el lado cliente, los SDK de Azure de Python admiten un medio transparente para aprovechar el contexto de una identidad de carga de trabajo, lo que elimina la necesidad de que el desarrollador realice la autenticación explícita. El código que se ejecuta en un espacio de nombres o pod en AKS con una identidad de carga de trabajo establecida puede autenticarse en servicios externos mediante la identidad administrada asignada.

Recursos

Los siguientes recursos pueden ayudarle a obtener más información sobre las diferencias entre AWS y Azure para las tecnologías usadas en la carga de trabajo de EDW:

Pasos siguientes

Colaboradores

Microsoft se encarga del mantenimiento de este artículo. Los siguientes colaboradores lo escribieron originalmente:

  • Ken Kilty | TPM de entidad de seguridad
  • Russell de Pina | TPM de entidad de seguridad
  • Jenny Hayes | Desarrollador de contenido sénior
  • Carol Smith | Desarrollador de contenido sénior
  • Erin Schaffer | Desarrollador de contenido 2