Migreren naar gedetailleerde, op rollen gebaseerde toegang voor clusterconfiguraties
We introduceren enkele belangrijke wijzigingen ter ondersteuning van meer verfijnde op rollen gebaseerde toegang om gevoelige informatie te verkrijgen. Als onderdeel van deze wijzigingen kan een bepaalde actie vereist zijn op 3 september 2019 als u een van de betrokken entiteiten/scenario's gebruikt.
Wat verandert er?
Voorheen konden geheimen worden verkregen via de HDInsight-API door clustergebruikers met de Azure-rollen Eigenaar, Inzender of Lezer, omdat ze beschikbaar waren voor iedereen met de */read machtiging. Geheimen worden gedefinieerd als waarden die kunnen worden gebruikt om meer verhoogde toegang te verkrijgen dan de rol van een gebruiker moet toestaan. Deze omvatten waarden zoals HTTP-referenties voor de clustergateway, opslagaccountsleutels en databasereferenties.
Vanaf 3 september 2019 is voor het openen van deze geheimen de Microsoft.HDInsight/clusters/configurations/action machtiging vereist. De gebruiker heeft er geen toegang toe met de rol Lezer. De rollen met deze machtiging zijn Inzender, Eigenaar en de nieuwe rol HDInsight-clusteroperator.
We introduceren ook een nieuwe HDInsight-clusteroperatorrol die geheimen kan ophalen zonder de beheerdersmachtigingen van Inzender of Eigenaar te krijgen. Samenvatting:
| - Rol | Eerder | Vooruitgaand |
|---|---|---|
| Lezer | - Leestoegang, inclusief geheimen. | - Leestoegang, exclusief geheimen |
| HDInsight-clusteroperator (Nieuwe rol) |
N.v.t. | - Lees-/schrijftoegang, inclusief geheimen |
| Inzender | - Lees-/schrijftoegang, inclusief geheimen. - Alle typen Azure-resources maken en beheren. - Scriptacties uitvoeren. |
Geen wijziging |
| Eigenaar | - Lees-/schrijftoegang, inclusief geheimen. - Volledige toegang tot alle resources - Toegang tot anderen delegeren. - Scriptacties uitvoeren. |
Geen wijziging |
Zie de onderstaande sectie, de roltoewijzing HDInsight-clusteroperator toevoegen aan een gebruiker om ze lees-/schrijftoegang tot clustergeheimen toe te voegen, zie de onderstaande sectie de roltoewijzing HDInsight-clusteroperator toevoegen aan een gebruiker.
Heb ik last van deze wijzigingen?
De volgende entiteiten en scenario's worden beïnvloed:
- API: Gebruikers die de
/configurationsof/configurations/{configurationName}eindpunten gebruiken. - Azure HDInsight-hulpprogramma's voor Visual Studio Code versie 1.1.1 of lager.
- Azure Toolkit voor IntelliJ versie 3.20.0 of lager.
- Azure Data Lake en Stream Analytics Tools voor Visual Studio versie 2.3.9000.1.
- Azure Toolkit voor Eclipse versie 3.15.0 of lager.
- SDK voor .NET
- versies 1.x of 2.x: Gebruikers die de
GetClusterConfigurationsklasseEnableHttpGetConnectivitySettingsConfigureHttpSettingsConfigurationsOperationsExtensions gebruiken, ofDisableHttpmethoden gebruiken. - versies 3.x en hoger: gebruikers die de
Get,UpdateofEnableHttpDisableHttpmethoden van deConfigurationsOperationsExtensionsklasse gebruiken.
- versies 1.x of 2.x: Gebruikers die de
- SDK voor Python: gebruikers die de
getofupdatemethoden uit deConfigurationsOperationsklasse gebruiken. - SDK voor Java: gebruikers die de
updateofgetmethoden uit deConfigurationsInnerklasse gebruiken. - SDK voor Go: gebruikers die de
GetofUpdatemethoden uit deConfigurationsClientstruct gebruiken. - Az.HDInsight PowerShell versie 2.0.0. Zie de onderstaande secties (of gebruik de bovenstaande koppelingen) om de migratiestappen voor uw scenario te bekijken.
API
De volgende API's worden gewijzigd of afgeschaft:
- GET /configurations/{configurationName} (gevoelige informatie verwijderd)
- Voorheen gebruikt voor het verkrijgen van afzonderlijke configuratietypen (inclusief geheimen).
- Vanaf 3 september 2019 retourneert deze API-aanroep nu afzonderlijke configuratietypen waarbij geheimen worden weggelaten. Als u alle configuraties, inclusief geheimen, wilt verkrijgen, gebruikt u de nieuwe AANroep POST/configurations. Als u alleen gatewayinstellingen wilt verkrijgen, gebruikt u de nieuwe POST/getGateway Instellingen-aanroep.
- GET /configurations (afgeschaft)
- Eerder gebruikt voor het verkrijgen van alle configuraties (inclusief geheimen)
- Vanaf 3 september 2019 wordt deze API-aanroep afgeschaft en wordt deze niet meer ondersteund. Gebruik de nieuwe aanroep POST/configurations om alle configuraties in de toekomst te verkrijgen. Gebruik de aanroep GET /configurations/{configurationName} om configuraties te verkrijgen met gevoelige parameters die zijn weggelaten.
- POST /configurations/{configurationName} (afgeschaft)
- Eerder gebruikt om gatewayreferenties bij te werken.
- Vanaf 3 september 2019 wordt deze API-aanroep afgeschaft en wordt deze niet meer ondersteund. Gebruik in plaats daarvan de nieuwe POST/updateGateway Instellingen.
De volgende vervangende API's zijn toegevoegd:
- POST/configuraties
- Gebruik deze API om alle configuraties, inclusief geheimen, te verkrijgen.
- POST /getGateway Instellingen
- Gebruik deze API om gateway-instellingen te verkrijgen.
- POST /updateGateway Instellingen
- Gebruik deze API om gatewayinstellingen (gebruikersnaam en/of wachtwoord) bij te werken.
Azure HDInsight Tools voor Visual Studio Code
Als u versie 1.1.1 of lager gebruikt, werkt u bij naar de nieuwste versie van Azure HDInsight Tools voor Visual Studio Code om onderbrekingen te voorkomen.
Azure-toolkit voor IntelliJ
Als u versie 3.20.0 of lager gebruikt, werkt u bij naar de nieuwste versie van de Azure Toolkit voor IntelliJ-invoegtoepassing om onderbrekingen te voorkomen.
Azure Data Lake en Stream Analytics Tools voor Visual Studio
Werk bij naar versie 2.3.9000.1 of hoger van Azure Data Lake en Stream Analytics Tools voor Visual Studio om onderbrekingen te voorkomen. Raadpleeg onze documentatie, Data Lake Tools voor Visual Studio bijwerken voor hulp bij het bijwerken.
Azure-toolkit voor Eclipse
Als u versie 3.15.0 of lager gebruikt, werkt u bij naar de nieuwste versie van de Azure Toolkit voor Eclipse om onderbrekingen te voorkomen.
SDK voor .NET
Versies 1.x en 2.x
Update naar versie 2.1.0 van de HDInsight SDK voor .NET. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen:
ClusterOperationsExtensions.GetClusterConfigurationsretourneert geen gevoelige parameters meer, zoals opslagsleutels (core-site) of HTTP-referenties (gateway).- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ClusterOperationsExtensions.ListConfigurationsde volgende stap. Gebruikers met de rol Lezer kunnen deze methode niet gebruiken. Het biedt gedetailleerde controle over welke gebruikers toegang hebben tot gevoelige informatie voor een cluster. - Als u alleen HTTP-gatewayreferenties wilt ophalen, gebruikt u
ClusterOperationsExtensions.GetGatewaySettings.
- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ClusterOperationsExtensions.GetConnectivitySettingsis nu afgeschaft en is vervangen doorClusterOperationsExtensions.GetGatewaySettings.ClusterOperationsExtensions.ConfigureHttpSettingsis nu afgeschaft en is vervangen doorClusterOperationsExtensions.UpdateGatewaySettings.ConfigurationsOperationsExtensions.EnableHttpenDisableHttpzijn nu afgeschaft. HTTP is nu altijd ingeschakeld, dus deze methoden zijn niet meer nodig.
Versies 3.x en hoger
Werk bij naar versie 5.0.0 of hoger van de HDInsight SDK voor .NET. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen:
ConfigurationOperationsExtensions.Getretourneert geen gevoelige parameters meer, zoals opslagsleutels (core-site) of HTTP-referenties (gateway).- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationOperationsExtensions.Listde volgende stap. Gebruikers met de rol Lezer kunnen deze methode niet gebruiken. Het biedt gedetailleerde controle over welke gebruikers toegang hebben tot gevoelige informatie voor een cluster. - Als u alleen HTTP-gatewayreferenties wilt ophalen, gebruikt u
ClusterOperationsExtensions.GetGatewaySettings.
- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationsOperationsExtensions.Updateis nu afgeschaft en is vervangen doorClusterOperationsExtensions.UpdateGatewaySettings.ConfigurationsOperationsExtensions.EnableHttpenDisableHttpzijn nu afgeschaft. HTTP is nu altijd ingeschakeld, dus deze methoden zijn niet meer nodig.
SDK voor Python
Werk bij naar versie 1.0.0 of hoger van de HDInsight SDK voor Python. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen:
ConfigurationsOperations.getretourneert geen gevoelige parameters meer, zoals opslagsleutels (core-site) of HTTP-referenties (gateway).- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationsOperations.listde volgende stap. Gebruikers met de rol Lezer kunnen deze methode niet gebruiken. Het biedt gedetailleerde controle over welke gebruikers toegang hebben tot gevoelige informatie voor een cluster. - Als u alleen HTTP-gatewayreferenties wilt ophalen, gebruikt u
ClusterOperations.get_gateway_settings.
- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationsOperations.updateis nu afgeschaft en is vervangen doorClusterOperations.update_gateway_settings.
SDK voor Java
Werk bij naar versie 1.0.0 of hoger van de HDInsight SDK voor Java. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen:
ConfigurationsInner.getretourneert geen gevoelige parameters meer, zoals opslagsleutels (core-site) of HTTP-referenties (gateway).ConfigurationsInner.updateis nu afgeschaft.
SDK voor Go
Update naar versie 27.1.0 of hoger van de HDInsight SDK voor Go. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen:
ConfigurationsClient.getretourneert geen gevoelige parameters meer, zoals opslagsleutels (core-site) of HTTP-referenties (gateway).- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationsClient.listde volgende stap. Gebruikers met de rol Lezer kunnen deze methode niet gebruiken. Het biedt gedetailleerde controle over welke gebruikers toegang hebben tot gevoelige informatie voor een cluster. - Als u alleen HTTP-gatewayreferenties wilt ophalen, gebruikt u
ClustersClient.get_gateway_settings.
- Als u alle configuraties, inclusief gevoelige parameters, wilt ophalen, gebruikt u
ConfigurationsClient.updateis nu afgeschaft en is vervangen doorClustersClient.update_gateway_settings.
Az.HDInsight PowerShell
Werk bij naar Az PowerShell versie 2.0.0 of hoger om onderbrekingen te voorkomen. Er zijn mogelijk minimale codewijzigingen vereist als u een methode gebruikt die wordt beïnvloed door deze wijzigingen.
Grant-AzHDInsightHttpServicesAccessis nu afgeschaft en is vervangen door de nieuweSet-AzHDInsightGatewayCredentialcmdlet.Get-AzHDInsightJobOutputis bijgewerkt om gedetailleerde op rollen gebaseerde toegang tot de opslagsleutel te ondersteunen.- Gebruikers met HDInsight-clusteroperator, Inzender of Eigenaar-rollen worden niet beïnvloed.
- Gebruikers met alleen de rol Lezer moeten de
DefaultStorageAccountKeyparameter expliciet opgeven.
Revoke-AzHDInsightHttpServicesAccessis nu afgeschaft. HTTP is nu altijd ingeschakeld, dus deze cmdlet is niet meer nodig. Zie az . HdInsight-migratiehandleiding voor meer informatie.
De roltoewijzing HDInsight-clusteroperator toevoegen aan een gebruiker
Een gebruiker met de rol Eigenaar kan de rol HDInsight-clusteroperator toewijzen aan gebruikers die lees-/schrijftoegang willen hebben tot gevoelige clusterconfiguratiewaarden voor HDInsight (zoals clustergatewayreferenties en opslagaccountsleutels).
Met behulp van de Azure CLI
De eenvoudigste manier om deze roltoewijzing toe te voegen, is met behulp van de az role assignment create opdracht in Azure CLI.
Notitie
Deze opdracht moet worden uitgevoerd door een gebruiker met de rol Eigenaar, omdat alleen deze machtigingen kunnen worden verleend. Dit --assignee is de naam van de service-principal of het e-mailadres van de gebruiker aan wie u de rol HDInsight-clusteroperator wilt toewijzen. Zie de veelgestelde vragen als er een fout met onvoldoende machtigingen wordt weergegeven.
Rol verlenen op het niveau van de resource (cluster)
az role assignment create --role "HDInsight Cluster Operator" --assignee <user@domain.com> --scope /subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.HDInsight/clusters/<ClusterName>
Rol verlenen op het niveau van de resourcegroep
az role assignment create --role "HDInsight Cluster Operator" --assignee user@domain.com -g <ResourceGroupName>
Rol verlenen op abonnementsniveau
az role assignment create --role "HDInsight Cluster Operator" --assignee user@domain.com
Met behulp van Azure Portal
U kunt de Azure-portal ook gebruiken om de roltoewijzing HDInsight-clusteroperator toe te voegen aan een gebruiker. Zie de documentatie, Azure-rollen toewijzen met behulp van Azure Portal.
Veelgestelde vragen
Waarom krijg ik een 403 (Verboden) reactie na het bijwerken van mijn API-aanvragen en/of hulpprogramma?
Clusterconfiguraties bevinden zich nu achter gedetailleerd toegangsbeheer op basis van rollen en vereisen de Microsoft.HDInsight/clusters/configurations/* machtiging voor toegang tot deze configuraties. Als u deze machtiging wilt verkrijgen, wijst u de rol HDInsight-clusteroperator, Inzender of Eigenaar toe aan de gebruiker of service-principal die toegang probeert te krijgen tot configuraties.
Waarom zie ik 'Onvoldoende bevoegdheden voor het voltooien van de bewerking' bij het uitvoeren van de Azure CLI-opdracht om de rol HDInsight-clusteroperator toe te wijzen aan een andere gebruiker of service-principal?
Naast de rol Eigenaar moet de gebruiker of service-principal die de opdracht uitvoert over voldoende Microsoft Entra-machtigingen beschikken om de object-id's van de toegewezen gebruiker op te zoeken. Dit bericht geeft onvoldoende Microsoft Entra-machtigingen aan. Vervang het -–assignee argument door –assignee-object-id en geef de object-id van de toegewezen gebruiker op als de parameter in plaats van de naam (of de principal-id in het geval van een beheerde identiteit). Zie de sectie optionele parameters van de documentatie over az role assignment create voor meer informatie.
Als dit nog steeds niet werkt, neemt u contact op met uw Microsoft Entra-beheerder om de juiste machtigingen te verkrijgen.
Wat gebeurt er als ik geen actie onderneem?
Vanaf 3 september 2019 GET /configurationsPOST /configurations/gateway retourneren aanroepen geen gegevens meer en retourneert de GET /configurations/{configurationName} aanroep geen gevoelige parameters meer, zoals opslagaccountsleutels of het clusterwachtwoord. Hetzelfde geldt voor de bijbehorende SDK-methoden en PowerShell-cmdlets.
Als u een oudere versie van een van de hulpprogramma's voor Visual Studio, VSCode, IntelliJ of Eclipse gebruikt, werkt deze pas als u bijwerkt.
Zie de bijbehorende sectie van dit document voor uw scenario voor meer informatie.