管理叢集存取權
注意
AKS 上的 Azure HDInsight 將於 2025 年 1 月 31 日退場。 請於 2025 年 1 月 31 日之前,將工作負載移轉至 Microsoft Fabric 或對等的 Azure 產品,以免工作負載突然終止。 訂用帳戶中剩餘的叢集將會停止,並會從主機移除。
在淘汰日期之前,只有基本支援可用。
重要
此功能目前為預覽功能。 Microsoft Azure 預覽版增補使用規定包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。 若需此特定預覽版的相關資訊,請參閱 Azure HDInsight on AKS 預覽版資訊。 如有問題或功能建議,請在 AskHDInsight 上提交要求並附上詳細資料,並且在 Azure HDInsight 社群上追蹤我們以獲得更多更新資訊。
本文提供可用來管理 AKS 叢集集區和叢集上 HDInsight 存取權的機制概觀。 它也涵蓋如何將權限指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集資料平面的存取權。
當使用者建立叢集時,即會授權該使用者使用叢集可存取的資料來執行作業。 不過,若要允許其他使用者在叢集上執行查詢和作業,則需要叢集資料平面的存取權。
管理叢集集區或叢集存取 (控制平面)
下列 AKS 上的 HDInsight 和 Azure 內建角色可供叢集管理使用來管理叢集集區或叢集資源。
角色 | 描述 |
---|---|
負責人 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 |
參與者 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色。 |
讀取者 | 檢視所有資源,但不允許您進行任何變更。 |
AKS 上的 HDInsight 叢集集區管理員 | 授與管理叢集集區的完整存取權,包括刪除叢集集區的能力。 |
AKS 上的 HDInsight 叢集管理員 | 授與管理叢集的完整存取權,包括刪除叢集的能力。 |
您可以使用存取控制 (IAM) 刀鋒視窗來管理叢集集區和控制平面的存取權。
參考:使用 Azure 入口網站授與使用者 Azure 資源的存取權 - Azure RBAC。
管理叢集存取 (資料平面)
此存取可讓您執行下列動作:
- 檢視叢集和管理作業。
- 所有監視和管理作業。
- 若要啟用自動縮放並更新節點計數。
存取僅限於:
- 叢集刪除。
若要將權限指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集資料平面的存取權,可以使用下選項:
使用 Azure 入口網站
如何授與存取權
下列步驟說明如何將權限指派給其他使用者、群組、使用者指派的受控識別和服務主體。
瀏覽至 Azure 入口網站中叢集的 [叢集存取] 刀鋒視窗,然後按一下 [新增]。
搜尋使用者/群組/使用者指派的受控識別/服務主體以授與存取權,然後按一下 [新增]。
如何移除存取權
選取要移除的成員,然後按下 [移除]。
使用 ARM 範本
必要條件
- AKS 上的作業 HDInsight 叢集。
- 適用於您叢集的 ARM 範本。
- 熟悉 ARM 範本製作和部署。
請遵循步驟來更新叢集 ARM 範本中 clusterProfile
區段下的 authorizationProfile
物件。
在 Azure 入口網站搜尋列中,搜尋使用者/群組/使用者指派的受控識別/服務主體。
複製物件識別碼或主體識別碼。
修改叢集 ARM 範本中的
authorizationProfile
區段。在
userIds
屬性下新增使用者/使用者指派的受控識別/服務主體物件識別碼或主體識別碼。在
groupIds
屬性下新增群組物件識別碼。"authorizationProfile": { "userIds": [ "abcde-12345-fghij-67890", "a1b1c1-12345-abcdefgh-12345" ], "groupIds": [] },
部署更新的 ARM 範本以反映叢集中的變更。 了解如何部署 ARM 範本。