المفاتيح التي يديرها العميل للتعلم الآلي من Azure
تم إنشاء التعلم الآلي من Azure بالإضافة إلى خدمات Azure المتعددة. على الرغم من تشفير البيانات المخزنة من خلال مفاتيح التشفير التي توفرها Microsoft، يمكنك تحسين الأمان من خلال توفير المفاتيح الخاصة بك (التي يديرها العميل). يتم تخزين المفاتيح التي تقدمها في Azure Key Vault. يتم تخزين بياناتك على مجموعة من الموارد الإضافية التي تديرها في اشتراك Azure.
بالإضافة إلى المفاتيح التي يديرها العميل، يوفر Azure التعلم الآلي علامة hbi_workspace. يؤدي تمكين هذه العلامة إلى تقليل كمية البيانات التي تجمعها Microsoft لأغراض التشخيص وتمكين التشفير الإضافي في البيئات التي تديرها Microsoft. تمكن هذه العلامة أيضا السلوكيات التالية:
- بدء تشفير قرص الصفر المحلي في نظام مجموعة حساب Azure التعلم الآلي، إذا لم تقم بإنشاء أي مجموعات سابقة في هذا الاشتراك. وإلا، تحتاج إلى رفع تذكرة دعم لتمكين تشفير القرص الصفري لمجموعات الحوسبة الخاصة بك.
- ينظف قرصك الأولي المحلي بين عمليات التشغيل.
- يمرر بيانات الاعتماد بشكل آمن لحساب التخزين وسجل الحاوية وحساب Secure Shell (SSH) من طبقة التنفيذ إلى مجموعات الحوسبة باستخدام مخزن المفاتيح الخاص بك.
لا تؤثر العلامة hbi_workspace على التشفير أثناء النقل. يؤثر فقط على التشفير في حالة الثبات.
المتطلبات الأساسية
- اشتراك Azure.
- إنشاء مثيل Azure Key Vault. يحتوي مخزن المفاتيح على مفاتيح تشفير خدماتك.
يجب أن يتيح مخزن المفاتيح الحماية من الحذف المبدئي والإزالة. يجب أن يكون للهوية المدارة للخدمات التي تساعد في تأمينها باستخدام مفتاح مدار من قبل العميل الأذونات التالية لخزنة المفاتيح:
- مفتاح الالتفاف
- فك المفتاح
- الحصول على
على سبيل المثال، ستحتاج الهوية المدارة لـ Azure Cosmos DB إلى الحصول على هذه الأذونات إلى مخزن المفاتيح.
القيود
- بعد إنشاء مساحة العمل، يمكن تحديث مفتاح التشفير المدار من قبل العميل للموارد التي تعتمد عليها مساحة العمل إلى مفتاح آخر فقط في مورد Azure Key Vault الأصلي.
- يتم تخزين البيانات المشفرة على الموارد في مجموعة موارد تديرها Microsoft في اشتراكك. لا يمكنك إنشاء هذه الموارد مقدما أو نقل ملكيتها إليك. تتم إدارة دورة حياة البيانات بشكل غير مباشر عبر واجهات برمجة تطبيقات Azure التعلم الآلي أثناء إنشاء كائنات في خدمة Azure التعلم الآلي.
- لا يمكنك حذف الموارد التي تديرها Microsoft التي تستخدمها للمفاتيح التي يديرها العميل دون حذف مساحة العمل أيضا.
- لا يمكنك تشفير قرص نظام التشغيل الخاص بنظام مجموعة الحوسبة باستخدام المفاتيح التي يديرها العميل. يجب استخدام المفاتيح التي تديرها Microsoft.
تحذير
لا تحذف مجموعة الموارد التي تحتوي على مثيل Azure Cosmos DB، أو أي من الموارد التي يتم إنشاؤها تلقائيا في هذه المجموعة. إذا كنت بحاجة إلى حذف مجموعة الموارد أو الخدمات التي تديرها Microsoft فيها، يجب حذف مساحة عمل التعلم الآلي من Azure التي تستخدمها. يتم حذف موارد مجموعة الموارد عند حذف مساحة العمل المقترنة.
تخزين بيانات تعريف مساحة العمل
عند إحضار مفتاح التشفير الخاص بك، يتم تخزين بيانات تعريف الخدمة على موارد مخصصة في اشتراك Azure الخاص بك. تنشئ Microsoft مجموعة موارد منفصلة في اشتراكك لهذا الغرض: azureml-rg-workspacename_GUID. يمكن لشركة Microsoft فقط تعديل الموارد في مجموعة الموارد المدارة هذه.
تنشئ Microsoft الموارد التالية لتخزين بيانات التعريف لمساحة العمل الخاصة بك:
| Service | الاستخدام | مثال على البيانات |
|---|---|---|
| Azure Cosmos DB | يخزن بيانات سجل الوظيفة وبيانات تعريف الحساب وبيانات تعريف الأصول. | يمكن أن تتضمن البيانات اسم الوظيفة والحالة ورقم التسلسل والحالة؛ حساب اسم نظام المجموعة وعدد الذاكرات الأساسية وعدد العقد؛ أسماء وعلامات مخزن البيانات، والأوصاف على الأصول مثل النماذج؛ وأسماء تسميات البيانات. |
| Azure الذكاء الاصطناعي Search | يخزن الفهارس التي تساعد في الاستعلام عن محتوى التعلم الآلي. | تم إنشاء هذه الفهارس أعلى البيانات المخزنة في Azure Cosmos DB. |
| تخزين Azure | يخزن بيانات التعريف المتعلقة ببيانات البنية الأساسية لبرنامج ربط العمليات التجارية التعلم الآلي Azure. | يمكن أن تتضمن البيانات أسماء مسارات المصمم وتخطيط البنية الأساسية لبرنامج ربط العمليات التجارية وخصائص التنفيذ. |
من منظور إدارة دورة حياة البيانات، يتم إنشاء البيانات في الموارد السابقة وحذفها أثناء إنشاء وحذف الكائنات المقابلة في Azure التعلم الآلي.
تقرأ مساحة عمل Azure التعلم الآلي البيانات وتكتبها باستخدام هويتها المدارة. يتم منح هذه الهوية حق الوصول إلى الموارد من خلال تعيين دور (التحكم في الوصول المستند إلى دور Azure) على موارد البيانات. يتم استخدام مفتاح التشفير الذي توفره لتشفير البيانات المخزنة على الموارد التي تديرها Microsoft. كما يتم استخدامه لإنشاء فهارس ل Azure الذكاء الاصطناعي Search في وقت التشغيل.
يتم تكوين عناصر تحكم إضافية في الشبكات عند إنشاء نقطة نهاية ارتباط خاصة على مساحة العمل الخاصة بك للسماح بالاتصال الوارد. يتضمن هذا التكوين إنشاء اتصال نقطة نهاية ارتباط خاص بمثيل Azure Cosmos DB. يقتصر الوصول إلى الشبكة على خدمات Microsoft الموثوق بها فقط.
المفاتيح التي يديرها العميل
عندما لا تستخدم مفتاحا يديره العميل، تقوم Microsoft بإنشاء الموارد وإدارتها في اشتراك Azure مملوك ل Microsoft وتستخدم مفتاحا تديره Microsoft لتشفير البيانات.
عند استخدام مفتاح مدار من قبل العميل، تكون الموارد في اشتراك Azure الخاص بك ومشفرة بمفتاحك. بينما توجد هذه الموارد في اشتراكك، تديرها Microsoft. يتم إنشاؤها وتكوينها تلقائيا عند إنشاء مساحة عمل التعلم الآلي من Azure.
توجد هذه الموارد التي تديرها Microsoft في مجموعة موارد Azure جديدة تم إنشاؤها في اشتراكك. مجموعة الموارد هذه منفصلة عن مجموعة الموارد لمساحة العمل الخاصة بك. يحتوي على الموارد التي تديرها Microsoft التي يتم استخدام المفتاح الخاص بك معها. صيغة تسمية مجموعة الموارد هي: <Azure Machine Learning workspace resource group name><GUID>.
تلميح
يتم تغيير حجم وحدات الطلب ل Azure Cosmos DB تلقائيا حسب الحاجة.
إذا كانت مساحة عمل Azure التعلم الآلي تستخدم نقطة نهاية خاصة، فإن مجموعة الموارد هذه تحتوي أيضا على شبكة Azure ظاهرية تديرها Microsoft. تساعد هذه الشبكة الظاهرية على تأمين الاتصال بين الخدمات المدارة ومساحة العمل. لا يمكنك توفير شبكتك الظاهرية لاستخدامها مع الموارد التي تديرها Microsoft. لا يمكنك أيضا تعديل الشبكة الظاهرية. على سبيل المثال، لا يمكنك تغيير نطاق عناوين IP الذي يستخدمه.
هام
إذا لم يكن لاشتراكك حصة نسبية كافية لهذه الخدمات، فسيحدث فشل.
عند استخدام مفتاح يديره العميل، تكون تكاليف اشتراكك أعلى لأن هذه الموارد موجودة في اشتراكك. لتقدير التكلفة، استخدم حاسبة أسعار Azure.
تخزين بيانات الحساب
يستخدم التعلم الآلي من Azure موارد الحوسبة لتدريب نماذج التعلم الآلي ونشرها. يصف الجدول التالي خيارات الحوسبة وكيف يقوم كل واحد بتشفير البيانات:
| Compute | التشفير |
|---|---|
| مثيلات حاوية Azure | يتم تشفير البيانات باستخدام مفتاح مدار من قبل Microsoft أو مفتاح مدار من قبل العميل. لمزيد من المعلومات، راجع تشفير بيانات التوزيع. |
| Azure Kubernetes Service | يتم تشفير البيانات باستخدام مفتاح مدار من قبل Microsoft أو مفتاح مدار من قبل العميل. لمزيد من المعلومات، راجع إحضار المفاتيح الخاصة بك باستخدام أقراص Azure في Azure Kubernetes Service. |
| مثيل حساب التعلم الآلي من Azure | يتم تشفير قرص الصفر المحلي إذا قمت بتمكين العلامة hbi_workspace لمساحة العمل. |
| نظام مجموعة حساب التعلم الآلي من Azure | يتم تشفير قرص نظام التشغيل في Azure Storage باستخدام مفاتيح تديرها Microsoft. يتم تشفير القرص المؤقت إذا قمت بتمكين العلامة hbi_workspace لمساحة العمل. |
| Compute | التشفير |
|---|---|
| Azure Kubernetes Service | يتم تشفير البيانات باستخدام مفتاح مدار من قبل Microsoft أو مفتاح مدار من قبل العميل. لمزيد من المعلومات، راجع إحضار المفاتيح الخاصة بك باستخدام أقراص Azure في Azure Kubernetes Service. |
| مثيل حساب التعلم الآلي من Azure | يتم تشفير قرص الصفر المحلي إذا قمت بتمكين العلامة hbi_workspace لمساحة العمل. |
| نظام مجموعة حساب التعلم الآلي من Azure | يتم تشفير قرص نظام التشغيل في Azure Storage باستخدام مفاتيح تديرها Microsoft. يتم تشفير القرص المؤقت إذا قمت بتمكين العلامة hbi_workspace لمساحة العمل. |
نظام مجموعة الحساب
تحتوي مجموعات الحوسبة على تخزين قرص نظام التشغيل المحلي ويمكنها تحميل البيانات من حسابات التخزين في اشتراكك أثناء الوظيفة. عند تحميل البيانات من حساب التخزين الخاص بك في وظيفة، يمكنك تمكين المفاتيح المدارة من قبل العملاء على حسابات التخزين هذه للتشفير.
يتم دائما تشفير قرص نظام التشغيل لكل عقدة حساب مخزنة في Azure Storage باستخدام مفاتيح تديرها Microsoft في حسابات تخزين Azure التعلم الآلي، وليس بالمفاتيح التي يديرها العميل. هدف الحساب هذا سريع الزوال، لذلك يتم حذف البيانات المخزنة على قرص نظام التشغيل بعد تقليص نظام المجموعة. عادة ما يتم تقليص المجموعات عندما لا تكون هناك مهام في قائمة الانتظار، والتحجيم التلقائي قيد التشغيل، ويتم تعيين الحد الأدنى لعدد العقد إلى الصفر. تم إلغاء توفير الجهاز الظاهري الأساسي، ويتم حذف قرص نظام التشغيل.
تشفير قرص Azure غير مدعوم لقرص نظام التشغيل. يحتوي كل جهاز ظاهري أيضاً على قرص مؤقت محلي لعمليات نظام التشغيل. إذا أردت، يمكنك استخدام القرص لتنظيم بيانات التدريب. إذا قمت بإنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت. هذه البيئة قصيرة الأجل (فقط أثناء عملك)، ويقتصر دعم التشفير على المفاتيح المدارة من قبل النظام فقط.
مثيل الحساب
يتم تشفير قرص نظام التشغيل لمثيل حساب باستخدام مفاتيح تديرها Microsoft في حسابات تخزين Azure التعلم الآلي. إذا قمت بإنشاء مساحة العمل مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت المحلي على مثيل الحساب باستخدام مفاتيح تديرها Microsoft. تشفير المفتاح الذي يديره العميل غير مدعوم لنظام التشغيل والأقراص المؤقتة.
علامة hbi_workspace
يمكنك تعيين العلامة hbi_workspace فقط عند إنشاء مساحة عمل. لا يمكنك تغييره لمساحة عمل موجودة.
عند تعيين هذه العلامة إلى TRUE، قد تزيد من صعوبة استكشاف المشكلات وإصلاحها لأنه يتم إرسال بيانات تتبع الاستخدام أقل إلى Microsoft. هناك رؤية أقل لمعدلات النجاح أو أنواع المشاكل. قد لا تتمكن Microsoft من التفاعل بشكل استباقي عندما تكون هذه العلامة TRUE.
لتمكين العلامة hbi_workspace عند إنشاء مساحة عمل Azure التعلم الآلي، اتبع الخطوات الواردة في إحدى المقالات التالية:
- إنشاء مساحة عمل وإدارتها باستخدام مدخل Microsoft Azure أو Python SDK
- إنشاء مساحة عمل وإدارتها باستخدام Azure CLI
- إنشاء مساحة عمل باستخدام HashiCorp Terraform
- إنشاء مساحة عمل باستخدام قوالب Azure Resource Manager