分享方式:


管理叢集存取權

注意

AKS 上的 Azure HDInsight 將於 2025 年 1 月 31 日退場。 請於 2025 年 1 月 31 日之前,將工作負載移轉至 Microsoft Fabric 或對等的 Azure 產品,以免工作負載突然終止。 訂用帳戶中剩餘的叢集將會停止,並會從主機移除。

在淘汰日期之前,只有基本支援可用。

重要

此功能目前為預覽功能。 Microsoft Azure 預覽版增補使用規定包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。 若需此特定預覽版的相關資訊,請參閱 Azure HDInsight on AKS 預覽版資訊。 如有問題或功能建議,請在 AskHDInsight 上提交要求並附上詳細資料,並且在 Azure HDInsight 社群上追蹤我們以獲得更多更新資訊。

本文提供可用來管理 AKS 叢集集區和叢集上 HDInsight 存取權的機制概觀。 它也涵蓋如何將權限指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集資料平面的存取權。

當使用者建立叢集時,即會授權該使用者使用叢集可存取的資料來執行作業。 不過,若要允許其他使用者在叢集上執行查詢和作業,則需要叢集資料平面的存取權。

管理叢集集區或叢集存取 (控制平面)

下列 AKS 上的 HDInsight 和 Azure 內建角色可供叢集管理使用來管理叢集集區或叢集資源。

角色 描述
負責人 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。
參與者 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色。
讀取者 檢視所有資源,但不允許您進行任何變更。
AKS 上的 HDInsight 叢集集區管理員 授與管理叢集集區的完整存取權,包括刪除叢集集區的能力。
AKS 上的 HDInsight 叢集管理員 授與管理叢集的完整存取權,包括刪除叢集的能力。

您可以使用存取控制 (IAM) 刀鋒視窗來管理叢集集區和控制平面的存取權。

參考:使用 Azure 入口網站授與使用者 Azure 資源的存取權 - Azure RBAC

管理叢集存取 (資料平面)

此存取可讓您執行下列動作:

  • 檢視叢集和管理作業。
  • 所有監視和管理作業。
  • 若要啟用自動縮放並更新節點計數。

存取僅限於:

  • 叢集刪除。

若要將權限指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集資料平面的存取權,可以使用下選項:

使用 Azure 入口網站

如何授與存取權

下列步驟說明如何將權限指派給其他使用者、群組、使用者指派的受控識別和服務主體。

  1. 瀏覽至 Azure 入口網站中叢集的 [叢集存取] 刀鋒視窗,然後按一下 [新增]

    顯示如何為使用者提供叢集存取權的螢幕擷取畫面。

  2. 搜尋使用者/群組/使用者指派的受控識別/服務主體以授與存取權,然後按一下 [新增]

    顯示如何新增叢集存取成員的螢幕擷取畫面。

如何移除存取權

  1. 選取要移除的成員,然後按下 [移除]

    顯示如何移除成員叢集存取權的螢幕擷取畫面。

使用 ARM 範本

必要條件

請遵循步驟來更新叢集 ARM 範本中 clusterProfile 區段下的 authorizationProfile 物件。

  1. 在 Azure 入口網站搜尋列中,搜尋使用者/群組/使用者指派的受控識別/服務主體。

    此螢幕擷取畫面顯示如何搜尋物件識別碼。

  2. 複製物件識別碼主體識別碼

    此螢幕擷取畫面顯示如何檢視物件識別碼。

  3. 修改叢集 ARM 範本中的 authorizationProfile 區段。

    1. userIds 屬性下新增使用者/使用者指派的受控識別/服務主體物件識別碼或主體識別碼。

    2. groupIds 屬性下新增群組物件識別碼。

      "authorizationProfile": {
      "userIds": [
                   "abcde-12345-fghij-67890",
                   "a1b1c1-12345-abcdefgh-12345"
               ],
      "groupIds": []
           },
      
  4. 部署更新的 ARM 範本以反映叢集中的變更。 了解如何部署 ARM 範本