Hanterade identiteter i Azure HDInsight

En hanterad identitet är en identitet som är registrerad i Microsoft Entra vars autentiseringsuppgifter hanteras av Azure. Med hanterade identiteter behöver du inte registrera tjänstens huvudnamn i Microsoft Entra-ID. Eller underhålla autentiseringsuppgifter som certifikat.

Hanterade identiteter används i Azure HDInsight för att komma åt Microsoft Entra Domain Services eller komma åt filer i Azure Data Lake Storage Gen2 vid behov.

Det finns två typer av hanterade identiteter: användartilldelade och systemtilldelade. Azure HDInsight stöder endast användartilldelade hanterade identiteter. HDInsight stöder inte systemtilldelade hanterade identiteter. En användartilldelad hanterad identitet skapas som en fristående Azure-resurs, som du sedan kan tilldela till en eller flera Azure-tjänstinstanser. Däremot skapas en systemtilldelad hanterad identitet i Microsoft Entra-ID och aktiveras sedan direkt på en viss Azure-tjänstinstans automatiskt. Livslängden för den systemtilldelade hanterade identiteten är sedan kopplad till livslängden för den tjänstinstans som den är aktiverad på.

HDInsight-hanterad identitetsimplementering

I Azure HDInsight kan hanterade identiteter endast användas av HDInsight-tjänsten för interna komponenter. Det finns för närvarande ingen metod som stöds för att generera åtkomsttoken med hjälp av de hanterade identiteter som är installerade på HDInsight-klusternoder för åtkomst till externa tjänster. För vissa Azure-tjänster, till exempel virtuella beräkningsdatorer, implementeras hanterade identiteter med en slutpunkt som du kan använda för att hämta åtkomsttoken. Den här slutpunkten är för närvarande inte tillgänglig i HDInsight-noder.

Om du behöver starta dina program för att undvika att placera hemligheter/lösenord i analysjobben (t.ex. SCALA-jobb) kan du distribuera dina egna certifikat till klusternoderna med hjälp av skriptåtgärder och sedan använda certifikatet för att hämta en åtkomsttoken (till exempel för att få åtkomst till Azure KeyVault).

Skapa en hanterad identitet

Hanterade identiteter kan skapas med någon av följande metoder:

• Azure Portal
• Azure PowerShell
• Azure Resource Manager
• Azure CLI

De återstående stegen för att konfigurera den hanterade identiteten beror på scenariot där den ska användas.

Scenarier med hanterade identiteter i Azure HDInsight

Hanterade identiteter används i Azure HDInsight i flera scenarier. Mer information om konfiguration och konfiguration finns i relaterade dokument:

• Azure Data Lake Storage Gen2
• Enterprise Security Package
• Kundhanterad nyckeldiskkryptering

HDInsight förnyar automatiskt certifikaten för de hanterade identiteter som du använder för dessa scenarier. Det finns dock en begränsning när flera olika hanterade identiteter används för långvariga kluster, men certifikatförnyelsen kanske inte fungerar som förväntat för alla hanterade identiteter. På grund av den här begränsningen rekommenderar vi att du använder samma hanterade identitet för alla scenarier ovan.

Om du redan har skapat ett tidskrävande kluster med flera olika hanterade identiteter och stöter på något av följande problem:

• I ESP-kluster börjar klustertjänster misslyckas eller skalas upp och andra åtgärder börjar misslyckas med autentiseringsfel.
• När du ändrar LDAPS-certifikatet för Microsoft Entra Domain Services i ESP-kluster uppdateras inte LDAPS-certifikatet automatiskt och därför misslyckas LDAP-synkronisering och uppskalningar.
• MSI-åtkomsten till ADLS Gen2 misslyckas.
• Krypteringsnycklar kan inte roteras i CMK-scenariot.

sedan bör du tilldela de roller och behörigheter som krävs för ovanstående scenarier till alla de hanterade identiteter som används i klustret. Om du till exempel använde olika hanterade identiteter för ADLS Gen2- och ESP-kluster bör båda ha rollerna "Storage blob data Owner" och "HDInsight Domain Services Contributor" tilldelade för att undvika att köras in i dessa problem.

Vanliga frågor

Vad händer om jag tar bort den hanterade identiteten när klustret har skapats?

Klustret får problem när den hanterade identiteten behövs. Det finns för närvarande inget sätt att uppdatera eller ändra en hanterad identitet när klustret har skapats. Därför rekommenderar vi att du ser till att den hanterade identiteten inte tas bort under klusterkörningen. Eller så kan du återskapa klustret och tilldela en ny hanterad identitet.

Nästa steg

• Vad är hanterade identiteter för Azure-resurser?