Поделиться через

Управление доступом к кластеру

  • Статья

Внимание

Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure включают более юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в статье Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за нами для получения дополнительных обновлений в сообществе Azure HDInsight.

В этой статье представлен обзор механизмов, доступных для управления доступом к HDInsight в пулах кластеров и кластерах AKS. Здесь также описывается назначение разрешений пользователям, группам, назначаемого пользователем управляемому удостоверению и субъектам-службам, чтобы обеспечить доступ к плоскости данных кластера.

При создании кластера пользователь может выполнять операции с данными, доступными для кластера. Однако, чтобы разрешить другим пользователям выполнять запросы и задания в кластере, требуется доступ к плоскости данных кластера.

Управление пулом кластеров или доступом к кластеру (плоскость управления)

Для управления пулом кластеров или ресурсами кластера доступны следующие роли HDInsight в AKS и Azure.

Роль Description
Ответственный Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC.
Участник Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC.
Читатель Просмотр всех ресурсов, но не позволяет вносить изменения.
HDInsight в пуле кластеров AKS Администратор Предоставляет полный доступ к управлению пулом кластеров, включая возможность удаления пула кластера.
HDInsight в кластере AKS Администратор Предоставляет полный доступ к управлению кластером, включая возможность удаления кластера.

Вы можете использовать колонку управления доступом (IAM) для управления доступом к пулу кластера и плоскости управления.

См. сведения о предоставлении пользователю доступа к ресурсам Azure с помощью портал Azure — Azure RBAC.

Управление доступом к кластеру (плоскость данных)

Этот доступ позволяет выполнять следующие действия:

  • Просмотр кластеров и управление заданиями.
  • Все операции мониторинга и управления.
  • Чтобы включить автомасштабирование и обновить число узлов.

Доступ ограничен для следующих вариантов:

  • Удаление кластера.

Чтобы назначить пользователям, группам, назначаемым пользователем управляемому удостоверению и субъектам-службам доступ к плоскости данных кластера, доступны следующие параметры:

Используя портал Azure

Предоставление доступа

Ниже описано, как предоставить доступ другим пользователям, группам, назначенным пользователем управляемому удостоверению и субъектам-службам.

  1. Перейдите к колонке доступа к кластеру в портал Azure и нажмите кнопку "Добавить".

    Снимок экрана: предоставление доступа к пользователю для доступа к кластеру.

  2. Выполните поиск управляемого удостоверения или субъекта-службы, назначаемого пользователем, и нажмите кнопку "Добавить".

    Снимок экрана: добавление члена для доступа к кластеру.

Удаление доступа

  1. Выберите элементы, которые нужно удалить, и нажмите кнопку " Удалить".

    Снимок экрана: удаление доступа к кластеру для члена.

Использование шаблона ARM

Необходимые компоненты

Выполните действия, чтобы обновить authorizationProfile объект в разделе clusterProfile в шаблоне ARM кластера.

  1. В строке поиска портал Azure найдите управляемое удостоверение или субъект-службу, назначаемое пользователем, и назначаемое пользователем.

    Снимок экрана: поиск идентификатора объекта.

  2. Скопируйте идентификатор объекта или идентификатор субъекта.

    Снимок экрана: просмотр идентификатора объекта.

  3. Измените раздел в шаблоне authorizationProfile ARM кластера.

    1. Добавьте управляемое удостоверение или идентификатор субъекта-службы, назначаемое пользователем, или идентификатор субъекта в свойстве userIds .

    2. Добавьте идентификатор объекта групп в groupIds свойство.

      "authorizationProfile": {
"userIds": [
             "abcde-12345-fghij-67890",
             "a1b1c1-12345-abcdefgh-12345"
         ],
"groupIds": []
     },

  4. Разверните обновленный шаблон ARM, чтобы отразить изменения в кластере. Узнайте, как развернуть шаблон ARM.