Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемое удостоверение — это удостоверение, зарегистрированное в Microsoft Entra, учетные данные которого управляются Azure. Для управляемых удостоверений вам не нужно регистрировать субъекты-службы в идентификаторе Microsoft Entra. или сохранять учетные данные, например сертификаты.
Управляемые удостоверения используются в Azure HDInsight для доступа к доменным службам Microsoft Entra или для доступа к файлам в Azure Data Lake Storage Gen2, когда это необходимо.
Существует два типа управляемых удостоверений: назначаемые пользователем и назначаемые системой. Azure HDInsight поддерживает только управляемые удостоверения, назначаемые пользователем. HDInsight не поддерживает управляемые удостоверения, назначаемые системой. Идентификатор, управляемый пользователем, создается как автономный ресурс Azure, который затем можно назначить одному или нескольким экземплярам служб Azure. В отличие от этого, управляемое удостоверение, назначаемое системой, создается в идентификаторе Microsoft Entra, а затем включается непосредственно в определенном экземпляре службы Azure автоматически. После этого управляемое удостоверение, назначаемое системой, привязывается к сроку существования экземпляра службы, на котором оно включено.
Реализация управляемого удостоверения HDInsight
В Azure HDInsight управляемые удостоверения могут использоваться только службой HDInsight для внутренних компонентов. В настоящее время нет поддерживаемого метода для генерации токенов доступа с использованием управляемых удостоверений, применяемых на узлах кластера HDInsight, для доступа к внешним службам. Для некоторых служб Azure, таких как вычислительные виртуальные машины, управляемые удостоверения реализуются с конечной точкой, которую можно использовать для получения маркеров доступа. Эта конечная точка в настоящее время недоступна в узлах HDInsight.
Если вам нужно инициализировать приложения, чтобы избежать размещения секретов и паролей в заданиях аналитики (например, заданиях SCALA), вы можете распространить собственные сертификаты на узлы кластера с помощью действий скрипта, а затем использовать этот сертификат для получения токена доступа (например, для доступа к Azure KeyVault).
Создайте управляемое удостоверение
Управляемые удостоверения можно создать с помощью любого из следующих методов:
Остальные действия по настройке управляемого удостоверения зависят от сценария, в котором оно будет использоваться.
Сценарии управляемого удостоверения в Azure HDInsight
Управляемые удостоверения используются в Azure HDInsight в нескольких сценариях. Подробные инструкции по настройке и конфигурированию см. в связанных документах.
- Azure Data Lake Storage 2-го поколения
- Пакет безопасности корпоративного уровня
- Шифрование дисков с ключами, управляемыми клиентом
HDInsight автоматически продлевает сертификаты для управляемых удостоверений, используемых для этих сценариев. Однако существует ограничение: если для кластеров с длительным временем выполнения используются несколько разных управляемых удостоверений, то продление сертификата может не работать должным образом для всех этих удостоверений. Из-за этого ограничения рекомендуется использовать одно управляемое удостоверение для всех описанных выше сценариев.
Если вы уже создали кластер длительного действия с несколькими различными управляемыми удостоверениями и сталкиваетесь с одной из следующих проблем:
- В кластерах ESP службы кластеров начинают сбоить или масштабироваться, а в других операциях начинают возникать сбои с ошибками проверки подлинности.
- В кластерах ESP при изменении сертификата LDAPS доменных служб Microsoft Entra сертификат LDAPS не обновляется автоматически, поэтому синхронизация LDAP и масштабирование начинается сбоем.
- Начались сбои доступа MSI к ADLS Gen2.
- Ключи шифрования нельзя повернуть в сценарии CMK.
Затем необходимо назначить необходимые роли и разрешения для описанных выше сценариев всем этим управляемым удостоверениям, используемым в кластере. Например, если вы использовали разные управляемые удостоверения для ADLS второго поколения и кластеров ESP, они оба должны иметь роли "Владелец данных BLOB-объектов хранилища" и "Участник доменных служб HDInsight", чтобы избежать возникновения этих проблем.
Вопросы и ответы
Что произойдет, если я удалю управляемую идентичность после создания кластера?
Кластер столкнется с проблемами, когда потребуется управляемое удостоверение. В настоящее время невозможно обновить или изменить управляемое удостоверение после создания кластера. Поэтому наша рекомендация заключается в том, чтобы убедиться, что управляемое удостоверение не удаляется во время работы кластера. Вы также можете повторно создать кластер и назначить новое управляемое удостоверение.