Identidades gerenciadas no Azure HDInsight
Uma identidade gerenciada é uma identidade registrada no Microsoft Entra, cujas credenciais são gerenciadas pelo Azure. Com identidades gerenciadas, você não precisa registrar entidades de serviço no Microsoft Entra ID. Ou manter credenciais como certificados.
As identidades gerenciadas são usadas no Azure HDInsight para acessar os serviços de domínio do Microsoft Entra Domain Services ou acessar arquivos no Azure Data Lake Storage Gen2 quando necessário.
Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuída pelo usuário. O Azure HDInsight dá suporte apenas a identidades gerenciadas atribuídas pelo usuário. O HDInsight não oferece suporte a identidades gerenciadas atribuídas pelo sistema. Uma identidade gerenciada atribuída pelo usuário é criada como um recurso autônomo do Azure, que você pode atribuir a uma ou mais instâncias de serviço do Azure. Por outro lado, uma identidade gerenciada atribuída pelo sistema é criada no Microsoft Entra ID e, em seguida, habilitada diretamente em uma instância de serviço do Azure específica automaticamente. A vida dessa identidade gerenciada atribuída pelo sistema é então vinculada à vida útil da instância do serviço em que está habilitada.
Implementação de identidade gerenciada do HDInsight
No Azure HDInsight, as identidades gerenciadas só são utilizáveis pelo serviço HDInsight para componentes internos. Atualmente, não há um método com suporte para gerar tokens de acesso usando as identidades gerenciadas instaladas em nós de cluster HDInsight para acessar serviços externos. Para alguns serviços do Azure, como VMs de computação, as identidades gerenciadas são implementadas com um ponto de extremidade que você pode usar para adquirir tokens de acesso. Este ponto de extremidade não está disponível no momento nos nós do HDInsight.
Se você precisar inicializar seus aplicativos para evitar colocar segredos/senhas nos trabalhos de análise (por exemplo, trabalhos SCALA), você pode distribuir seus próprios certificados para os nós de cluster usando ações de script e, em seguida, usar esse certificado para adquirir um token de acesso (por exemplo, para acessar o Azure KeyVault).
Criar uma identidade gerenciada
Identidades gerenciadas podem ser criadas com qualquer um dos seguintes métodos:
As etapas restantes para configurar a identidade gerenciada dependem do cenário em que serão usadas.
Cenários de identidade gerenciada no Azure HDInsight
Identidades gerenciadas são usadas no Azure HDInsight em vários cenários. Consulte os documentos relacionados para obter instruções de instalação e configuração detalhadas:
- Azure Data Lake Storage Gen2
- Enterprise Security Package
- Criptografia de disco de chave gerenciada pelo cliente
O HDInsight renovará automaticamente os certificados para as identidades gerenciadas que você usa nesses cenários. No entanto, há uma limitação quando várias identidades diferentes gerenciadas são usadas para clusters de execução prolongada, a renovação do certificado pode não funcionar conforme o esperado para todas as identidades gerenciadas. Devido a essa limitação, recomendamos usar a mesma identidade gerenciada para todos os cenários acima.
Se você já tiver criado um cluster de execução prolongada com várias identidades gerenciadas diferentes e estiver executando um destes problemas:
- Em clusters ESP, os serviços de cluster começam a falhar ou escalar verticalmente e outras operações começam a falhar com erros de autenticação.
- Em clusters ESP, ao alterar o certificado de LDAPs do AAD-DS, o certificado LDAP Seguro não é atualizado automaticamente e, portanto, a sincronização LDAP e o aumento da escala começam a falhar.
- O acesso de MSI ao ADLS Gen2 começa a falhar.
- As chaves de criptografia não podem ser giradas no cenário CMK.
em seguida, você deve atribuir as funções e permissões necessárias para os cenários acima para todas as identidades gerenciadas usadas no cluster. Por exemplo, se você usou diferentes identidades gerenciadas para clusters ADLS Gen2 e ESP, então ambos devem ter as funções "proprietário do armazenamento de dados de blob" e "colaborador de serviços de domínio do HDInsight" atribuídas a eles para evitar a execução nesses problemas.
Perguntas frequentes
O que acontecerá se eu excluir a identidade gerenciada após a criação do cluster?
O cluster terá problemas quando a identidade gerenciada for necessária. Atualmente, não há como atualizar ou alterar uma identidade gerenciada depois que o cluster é criado. Portanto, nossa recomendação é garantir que a identidade gerenciada não seja excluída durante o tempo de execução do cluster. Ou você pode recriar o cluster e atribuir uma nova identidade gerenciada.