Identità gestite in Azure HDInsight
Un'identità gestita è un'identità registrata in Microsoft Entra le cui credenziali sono gestite da Azure. Con le identità gestite non è necessario registrare le entità servizio nell'ID Microsoft Entra. Oppure mantenere le credenziali, ad esempio i certificati.
Le identità gestite vengono usate in Azure HDInsight per accedere a Microsoft Entra Domain Services o accedere ai file in Azure Data Lake Archiviazione Gen2 quando necessario.
Esistono due tipi di identità gestite: assegnate dall'utente e assegnate dal sistema. Azure HDInsight supporta solo le identità gestite assegnate dall'utente. HDInsight non supporta le identità gestite assegnate dal sistema. Un'identità gestita assegnata dall'utente viene creata come risorsa di Azure autonoma, che è quindi possibile assegnare a una o più istanze del servizio di Azure. Al contrario, un'identità gestita assegnata dal sistema viene creata in Microsoft Entra ID e quindi abilitata direttamente in una particolare istanza del servizio di Azure. La durata dell'identità gestita assegnata dal sistema viene quindi associata alla durata dell'istanza del servizio su cui è abilitata.
Implementazione dell'identità gestita di HDInsight
In Azure HDInsight le identità gestite sono utilizzabili solo dal servizio HDInsight per i componenti interni. Attualmente non è disponibile alcun metodo supportato per generare token di accesso usando le identità gestite installate nei nodi del cluster HDInsight per l'accesso ai servizi esterni. Per alcuni servizi di Azure, ad esempio le macchine virtuali di calcolo, le identità gestite vengono implementate con un endpoint che è possibile usare per acquisire i token di accesso. Questo endpoint non è attualmente disponibile nei nodi HDInsight.
Se è necessario eseguire il bootstrap delle applicazioni per evitare di inserire segreti o password nei processi di analisi (ad esempio, processi SCALA), è possibile distribuire i propri certificati ai nodi del cluster usando azioni script e quindi usare tale certificato per acquisire un token di accesso, ad esempio per accedere ad Azure KeyVault.
Creare un'identità gestita
È possibile creare identità gestite con uno dei metodi seguenti:
I passaggi rimanenti per la configurazione dell'identità gestita dipendono dallo scenario in cui verrà usato.
Scenari di identità gestita in Azure HDInsight
Le identità gestite vengono usate in Azure HDInsight in più scenari. Per istruzioni dettagliate sull'installazione e la configurazione, vedere i documenti correlati:
- Azure Data Lake Storage Gen2
- Enterprise Security Package
- Crittografia dischi con chiavi gestite dal cliente
HDInsight rinnova automaticamente i certificati per le identità gestite usate per questi scenari. Tuttavia, esiste una limitazione quando vengono usate più identità gestite diverse per i cluster a esecuzione prolungata, il rinnovo del certificato potrebbe non funzionare come previsto per tutte le identità gestite. A causa di questa limitazione, è consigliabile usare la stessa identità gestita per tutti gli scenari precedenti.
Se è già stato creato un cluster a esecuzione prolungata con più identità gestite diverse e si verifica uno di questi problemi:
- Nei cluster ESP, i servizi cluster iniziano a non riuscire o aumentano le prestazioni e altre operazioni iniziano a non riuscire con errori di autenticazione.
- Nei cluster ESP, quando si modifica microsoft Entra Domain Services LD piattaforma di strumenti analitici certificato, il certificato LD piattaforma di strumenti analitici non viene aggiornato automaticamente e pertanto la sincronizzazione LDAP e le istanze non vengono avviate correttamente.
- L'accesso MSI ad ADLS Gen2 ha esito negativo.
- Le chiavi di crittografia non possono essere ruotate nello scenario cmk.
è quindi necessario assegnare i ruoli e le autorizzazioni necessari per gli scenari precedenti a tutte le identità gestite usate nel cluster. Ad esempio, se sono state usate identità gestite diverse per cluster ADLS Gen2 ed ESP, entrambi devono avere i ruoli "proprietario dei dati BLOB Archiviazione" e "Collaboratore servizi di dominio HDInsight" per evitare l'esecuzione in questi problemi.
Domande frequenti
Cosa accade se si elimina l'identità gestita dopo la creazione del cluster?
Il cluster si verifica quando è necessaria l'identità gestita. Non è attualmente possibile aggiornare o modificare un'identità gestita dopo la creazione del cluster. È quindi consigliabile assicurarsi che l'identità gestita non venga eliminata durante il runtime del cluster. In alternativa, è possibile ricreare il cluster e assegnare una nuova identità gestita.