Identidades gerenciadas no Azure HDInsight
Uma identidade gerenciada é uma identidade registrada no Microsoft Entra cujas credenciais são gerenciadas pelo Azure. Com identidades gerenciadas, você não precisa registrar entidades de serviço no Microsoft Entra ID. Ou manter credenciais, como certificados.
As identidades gerenciadas são usadas no Azure HDInsight para acessar os Serviços de Domínio do Microsoft Entra ou acessar arquivos no Azure Data Lake Storage Gen2 quando necessário.
Existem dois tipos de identidades gerenciadas: atribuídas pelo usuário e atribuídas pelo sistema. O Azure HDInsight dá suporte apenas a identidades gerenciadas atribuídas pelo usuário. O HDInsight não oferece suporte a identidades gerenciadas atribuídas ao sistema. Uma identidade gerenciada atribuída pelo usuário é criada como um recurso autônomo do Azure, que você pode atribuir a uma ou mais instâncias de serviço do Azure. Por outro lado, uma identidade gerenciada atribuída ao sistema é criada na ID do Microsoft Entra e, em seguida, habilitada diretamente em uma instância de serviço específica do Azure automaticamente. A vida útil dessa identidade gerenciada atribuída ao sistema é então vinculada à vida da instância de serviço na qual ela está habilitada.
Implementação de identidade gerenciada do HDInsight
No Azure HDInsight, as identidades gerenciadas só podem ser usadas pelo serviço HDInsight para componentes internos. Atualmente, não há nenhum método suportado para gerar tokens de acesso usando as identidades gerenciadas instaladas nos nós de cluster HDInsight para acessar serviços externos. Para alguns serviços do Azure, como VMs de computação, as identidades gerenciadas são implementadas com um ponto de extremidade que você pode usar para adquirir tokens de acesso. Atualmente, esse ponto de extremidade não está disponível nos nós do HDInsight.
Se você precisar inicializar seus aplicativos para evitar colocar segredos/senhas nos trabalhos de análise (por exemplo, trabalhos SCALA), poderá distribuir seus próprios certificados para os nós do cluster usando ações de script e, em seguida, usar esse certificado para adquirir um token de acesso (por exemplo, para acessar o Azure KeyVault).
Criar uma identidade gerenciada
As identidades gerenciadas podem ser criadas com qualquer um dos seguintes métodos:
As etapas restantes para configurar a identidade gerenciada dependem do cenário em que ela será usada.
Cenários de identidade gerenciada no Azure HDInsight
As identidades gerenciadas são usadas no Azure HDInsight em vários cenários. Consulte os documentos relacionados para obter instruções detalhadas de instalação e configuração:
- Azure Data Lake Storage Gen2 (Armazenamento do Azure Data Lake Gen2)
- Pacote de Segurança Empresarial
- Criptografia de disco de chave gerenciada pelo cliente
O HDInsight renovará automaticamente os certificados para as identidades gerenciadas usadas nesses cenários. No entanto, há uma limitação quando várias identidades gerenciadas diferentes são usadas para clusters de longa execução, a renovação do certificado pode não funcionar como esperado para todas as identidades gerenciadas. Devido a essa limitação, recomendamos usar a mesma identidade gerenciada para todos os cenários acima.
Se você já criou um cluster de longa execução com várias identidades gerenciadas diferentes e está enfrentando um destes problemas:
- Em clusters ESP, os serviços de cluster começam a falhar ou a aumentar a escala e outras operações começam a falhar com erros de autenticação.
- Em clusters ESP, ao alterar o certificado LDAPS dos Serviços de Domínio Microsoft Entra, o certificado LDAPS não é atualizado automaticamente e, portanto, a sincronização LDAP e as escalas começam a falhar.
- O acesso MSI ao ADLS Gen2 começa a falhar.
- As chaves de criptografia não podem ser giradas no cenário CMK.
Em seguida, você deve atribuir as funções e permissões necessárias para os cenários acima a todas as identidades gerenciadas usadas no cluster. Por exemplo, se você usou identidades gerenciadas diferentes para clusters ADLS Gen2 e ESP, ambos deverão ter as funções "Proprietário de dados do blob de armazenamento" e "Colaborador dos Serviços de Domínio HDInsight" atribuídas a eles para evitar a execução desses problemas.
FAQ
O que acontece se eu excluir a identidade gerenciada após a criação do cluster?
Seu cluster terá problemas quando a identidade gerenciada for necessária. Atualmente, não há como atualizar ou alterar uma identidade gerenciada após a criação do cluster. Portanto, nossa recomendação é garantir que a identidade gerenciada não seja excluída durante o tempo de execução do cluster. Ou você pode recriar o cluster e atribuir uma nova identidade gerenciada.