Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de replicar a carga de trabalho de EDW no Azure, verifique se você tem uma compreensão sólida das diferenças operacionais entre as plataformas AWS e Azure.
Este artigo aborda alguns dos principais conceitos dessa carga de trabalho e fornece links para recursos que fornecem mais informações.
Gerenciamento de identidade e de acesso
A carga de trabalho de EDW do AWS usa uma função IAM (Gerenciamento de Identidades e Acesso) do AWS, que é adotada pelo serviço EKS. Essa função é atribuída aos pods do EKS para permitir o acesso a recursos do AWS, como filas ou bancos de dados, sem a necessidade de armazenar credenciais.
O Azure implementa o RBAC (controle de acesso baseado em função) de maneira diferente do AWS. No Azure, as atribuições de função são associadas a uma entidade de segurança (usuário, grupo, identidade gerenciada ou entidade de serviço) e essa entidade de segurança é associada a um recurso.
Autenticação entre serviços
A carga de trabalho de EDW do AWS se conecta a uma fila e um banco de dados por meio de comunicação de serviço. O EKS do AWS emprega AssumeRole, uma funcionalidade do IAM, para obter credenciais de segurança temporárias que permitem o acesso a usuários, aplicações ou serviços do AWS. Essa implementação permite que os serviços assumam uma função de IAM que concede acesso específicos, garantindo permissões seguras e limitadas entre os serviços.
Para o acesso de banco de dados do Amazon DynamoDB e SQS (Simple Queue Service) usando a comunicação de serviço, o fluxo de trabalho do AWS usa AssumeRole com o EKS, que é uma implementação da projeção de volume de tokens de conta de serviço do Kubernetes. No contexto da carga de trabalho EDW do EKS, uma configuração permite que uma conta de serviço do Kubernetes assuma uma função de IAM (Gerenciamento de Identidades e Acesso) do AWS. Os pods configurados para usar essa conta de serviço podem, então, acessar qualquer serviço do AWS ao qual a função tenha permissões para acessar. Na carga de trabalho de EDW, são definidas duas políticas de IAM para conceder permissões de acesso ao Amazon DynamoDB e ao Amazon SQS.
Com o AKS, você pode usar a Identidade Gerenciada do Microsoft Entra com a ID de carga de trabalho do Microsoft Entra.
Uma identidade gerenciada atribuída pelo usuário é criada e recebe acesso a uma Tabela de Armazenamento do Microsoft Azure atribuindo-se a ela a função de Colaborador de Dados da Tabela de Armazenamento. A identidade gerenciada também recebe acesso a uma Fila de Armazenamento do Microsoft Azure atribuindo-se a ela a função de Colaborador de Dados da Fila de Armazenamento. Essas atribuições de função têm como escopo recursos específicos, permitindo que a identidade gerenciada leia mensagens em uma Fila de Armazenamento do Azure específica e escreva-as em uma Tabela de Armazenamento do Microsoft Azure específica. Em seguida, a identidade gerenciada é mapeada para uma identidade de carga de trabalho do Kubernetes que será associada à identidade dos pods em que os contêineres de aplicativo são implantados. Para obter mais informações, confira Usar a ID de carga de trabalho do Microsoft Entra com o AKS.
No lado do cliente, os SDKs Python do Azure dão suporte a um meio transparente de aproveitar o contexto de uma identidade de carga de trabalho, o que elimina a necessidade de o desenvolvedor executar autenticação explícita. O código em execução em um namespace/pod no AKS com uma identidade de carga de trabalho estabelecida pode se autenticar com serviços externos usando a identidade gerenciada mapeada.
Recursos
Os seguintes recursos podem ajudar você a saber mais sobre as diferenças entre o AWS e o Azure para as tecnologias usadas na carga de trabalho de EDW:
| Tópico | Recurso do AWS para o Azure |
|---|---|
| Serviços | Comparação entre os serviços do AWS e do Azure |
| Identidade | Como mapear conceitos do IAM do AWS para semelhantes no Azure |
| Contas | Contas e assinaturas do Azure e da AWS |
| Gerenciamento de recursos | Contêineres de recursos |
| Mensagens | Amazon SQS para o Armazenamento de Filas do Azure |
| Kubernetes | AKS para profissionais do Amazon EKS |
Próximas etapas
Colaboradores
A Microsoft atualiza este artigo. Os seguintes colaboradores o escreveram originalmente:
- Ken Kilty | Principal TPM
- Russell de Pina | Diretor de TPM
- Jenny Hayes | Desenvolvedora sênior de conteúdo
- Carol Smith | Desenvolvedora sênior de conteúdo
- Erin Schaffer | Desenvolvedora de Conteúdo 2