管理叢集存取權
重要
此功能目前為預覽功能。 適用於 Microsoft Azure 預覽版的補充使用規定包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的更合法條款。 如需此特定預覽的相關信息,請參閱 AKS 預覽資訊的 Azure HDInsight。 如需問題或功能建議,請在 AskHDInsight 上提交要求,並提供詳細數據,並遵循我們在 Azure HDInsight 社群上取得更多更新。
本文提供可用來管理 AKS 叢集集區和叢集上 HDInsight 存取權的機制概觀。 它也涵蓋如何將許可權指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集數據平面的存取權。
當使用者建立叢集時,該使用者就會獲得授權,以使用叢集可存取的數據來執行作業。 不過,若要允許其他使用者在叢集上執行查詢和作業,則需要存取叢集數據平面。
管理叢集集區或叢集存取(控制平面)
AKS 和 Azure 內建角色上的下列 HDInsight 可供叢集管理來管理叢集集集區或叢集資源。
| 角色 | 描述 |
|---|---|
| 負責人 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 |
| 參與者 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色。 |
| 讀取者 | 檢視所有資源,但不允許您進行任何變更。 |
| AKS 叢集集集區上的 HDInsight 管理員 | 授與管理叢集集區的完整存取權,包括刪除叢集集區的能力。 |
| AKS 叢集上的 HDInsight 管理員 | 授與管理叢集的完整存取權,包括刪除叢集的能力。 |
您可以使用存取權 (IAM) 刀鋒視窗來管理叢集集區和控制平面的存取權。
請參閱:使用 Azure 入口網站 - Azure RBAC 授與使用者對 Azure 資源的存取權。
管理叢集存取 (資料平面)
此存取可讓您執行下列動作:
- 檢視叢集和管理作業。
- 所有監視和管理作業。
- 若要啟用自動調整並更新節點計數。
存取限制為:
- 叢集刪除。
若要將許可權指派給使用者、群組、使用者指派的受控識別和服務主體,以啟用叢集數據平面的存取權,可以使用下列選項:
使用 Azure 入口網站
如何授與存取權
下列步驟說明如何提供其他使用者、群組、使用者指派的受控識別和服務主體的存取權。
流覽至 Azure 入口網站 中叢集的 [叢集存取] 刀鋒視窗,然後按兩下 [新增]。
搜尋使用者/群組/使用者指派的受控識別/服務主體以授與存取權,然後按兩下 [ 新增]。
如何移除存取權
選取要移除的成員,然後按兩下 [ 移除]。
使用ARM範本
必要條件
- AKS 叢集上的操作 HDInsight。
- 叢集的 ARM 範本 。
- 熟悉 ARM 範本撰寫和部署。
請遵循步驟,在叢集 ARM 範本的 區段底下clusterProfile更新authorizationProfile物件。
在 Azure 入口網站 搜尋列中,搜尋使用者/群組/使用者指派的受控識別/服務主體。
複製物件 識別碼 或 主體標識碼。
authorizationProfile修改叢集 ARM 範本中的 區段。在屬性下
userIds新增使用者/使用者指派的受控識別/服務主體對象標識碼或主體標識符。在屬性下
groupIds新增群組 對象識別碼。"authorizationProfile": { "userIds": [ "abcde-12345-fghij-67890", "a1b1c1-12345-abcdefgh-12345" ], "groupIds": [] },
部署更新的 ARM 範本,以反映叢集中的變更。 瞭解如何 部署ARM範本。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應