Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa HDInsight dodała opcję Tożsamości zarządzanej (MI) na potrzeby uwierzytelniania baz danych SQL w swoich ofertach klastra i zapewniania bezpieczniejszego mechanizmu uwierzytelniania.
W tym artykule opisano proces korzystania z opcji Tożsamość zarządzana na potrzeby uwierzytelniania bazy danych SQL podczas tworzenia klastra usługi HDInsight.
Opcja tożsamości zarządzanej jest dostępna dla następujących baz danych:
| Bazy danych | Host w imieniu bazy danych (HoBo) | Przynieś własną bazę danych (BYO) |
|---|---|---|
| Ambari | ✅ | ✅ |
| Hive | ✅ | ✅ |
| Oozie | ✅ | ✅ |
| Ranger (ESP) | ❌ | ❌ |
Uwaga
Zmiana tożsamości zarządzanej jest dostępna w regionach publicznych. Aby skorzystać z innych regionów (regionów federalnych i chińskich), skontaktuj się z pomocą techniczną , aby uzyskać pomoc.
Ważne
- Zaleca się, aby nie aktualizować tożsamości zarządzanej po odtworzeniu klastra, ponieważ może zakłócić działanie klastra.
- Podczas ponownego tworzenia tożsamości zarządzanej o tej samej nazwie należy ponownie utworzyć zawartego użytkownika i ponownie przypisać role, ponieważ nowa tożsamość zarządzana ma inny identyfikator obiektu i identyfikator klienta, nawet jeśli nazwa pozostaje niezmieniona.
Procedura używania tożsamości zarządzanej podczas tworzenia klastra w witrynie Azure Portal
Podczas tworzenia klastra, przejdź do sekcji Przechowywanie i wybierz bazę danych SQL dla Ambari, Hive lub Oozie. Wybierz tożsamość zarządzaną jako metodę uwierzytelniania.
Wybierz tożsamość zarządzaną do uwierzytelniania w bazie danych SQL.
Utwórz zawartego użytkownika z tożsamością zarządzaną w odpowiedniej bazie danych SQL.
Wykonaj następujące kroki w edytorze zapytań usługi Azure SQL Database, aby utworzyć użytkownika bazy danych i przyznać mu uprawnienia do odczytu i zapisu. Wykonaj następujące kroki dla każdej usługi SQL Database, której będziesz używać w przypadku różnych usług, takich jak Ambari, Hive lub Oozie.
Uwaga
Nazwa użytkownika musi zawierać oryginalną nazwę tożsamości zarządzanej rozszerzoną przez sufiks zdefiniowany przez użytkownika. Najlepszym rozwiązaniem jest to, że sufiks może zawierać początkową część identyfikatora obiektu. Identyfikator obiektu tożsamości zarządzanej można uzyskać z portalu na stronie portalu tożsamości zarządzanej.
Na przykład:
- Nazwa MI: contosoMSI
- Identyfikator obiektu:
aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb - user_name może być
contosoMSI_aaaaaaaa
CREATE USER {user_name} FROM EXTERNAL PROVIDER WITH OBJECT_ID={object id of cluster managed identity}; ALTER ROLE db_datareader ADD MEMBER {user_name}; ALTER ROLE db_ddladmin ADD MEMBER {user_name}; ALTER ROLE db_datawriter ADD MEMBER {user_name};Uwaga
Jeśli role
db_executor,db_view_defidb_view_statesą już zdefiniowane w bazie danych, nie ma potrzeby kontynuowania kolejnego kroku.CREATE ROLE db_executor; GRANT EXECUTE TO db_executor; ALTER ROLE db_executor ADD MEMBER {user_name}; CREATE ROLE db_view_def; GRANT VIEW DEFINITION TO db_view_def; ALTER ROLE db_view_def ADD MEMBER {user_name}; CREATE ROLE db_view_db_state; GRANT VIEW DATABASE STATE TO db_view_db_state; ALTER ROLE db_view_def ADD MEMBER {user_name};Po wprowadzeniu niezbędnych szczegółów przejdź do tworzenia klastra w portalu.
