إدخال البيانات السرية في نقاط النهاية عبر الإنترنت (معاينة)
ينطبق على:
ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)
حقن البيانات السرية في سياق نقطة نهاية عبر الإنترنت هو عملية استرداد البيانات السرية (مثل مفاتيح API) من المتاجر السرية، وحقنها في حاوية المستخدم الخاصة بك التي تعمل داخل نشر عبر الإنترنت. يتم الوصول إلى الأسرار في النهاية بشكل آمن عبر متغيرات البيئة، والتي يستخدمها خادم الاستدلال الذي يقوم بتشغيل البرنامج النصي لتسجيل النقاط أو بواسطة مكدس الاستدلال الذي تجلبه مع نهج نشر BYOC (إحضار الحاوية الخاصة بك).
هام
تُعد هذه الميزة قيد الإصدار الأولي العام في الوقت الحالي. يجري توفير إصدار المعاينة هذا دون اتفاقية على مستوى الخدمة، ولا نوصي باستخدامه لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة.
لمزيد من المعلومات، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
بيان المشكلة
عند إنشاء نشر عبر الإنترنت، قد تحتاج إلى استخدام أسرار من داخل النشر للوصول إلى الخدمات الخارجية. تتضمن بعض هذه الخدمات الخارجية خدمة Microsoft Azure OpenAI وخدمات Azure الذكاء الاصطناعي ومحتوى Azure الذكاء الاصطناعي خزينة ty.
لاستخدام الأسرار، يجب عليك العثور على طريقة لتمريرها بأمان إلى حاوية المستخدم التي تعمل داخل النشر. لا نوصي بتضمين البيانات السرية كجزء من تعريف النشر، لأن هذه الممارسة من شأنها أن تكشف الأسرار في تعريف النشر.
تتمثل الطريقة الأفضل في تخزين الأسرار في المخازن السرية ثم استردادها بأمان من داخل النشر. ومع ذلك، يشكل هذا النهج تحديه الخاص: كيف يجب أن يصادق التوزيع نفسه على المخازن السرية لاسترداد الأسرار. نظرا لأن النشر عبر الإنترنت يقوم بتشغيل حاوية المستخدم باستخدام هوية نقطة النهاية، وهي هوية مدارة، يمكنك استخدام Azure RBAC للتحكم في أذونات هوية نقطة النهاية والسماح لنقطة النهاية باسترداد الأسرار من المتاجر السرية. يتطلب استخدام هذا الأسلوب القيام بالمهام التالية:
- قم بتعيين الأدوار المناسبة لهوية نقطة النهاية بحيث يمكنها قراءة البيانات السرية من مخازن البيانات السرية.
- تنفيذ منطق تسجيل النقاط للتوزيع بحيث يستخدم الهوية المدارة لنقطة النهاية لاسترداد الأسرار من المتاجر السرية.
في حين أن هذا النهج لاستخدام هوية مدارة هو طريقة آمنة لاسترداد البيانات السرية وحقنها، فإن حقن البيانات السرية عبر ميزة حقن البيانات السرية يبسط عملية استرداد البيانات السرية لاتصالات مساحة العمل وخزائن المفاتيح.
الهوية المدارة المقترنة بنقطة النهاية
يقوم التوزيع عبر الإنترنت بتشغيل حاوية المستخدم الخاصة بك مع الهوية المدارة المقترنة بنقطة النهاية. هذه الهوية المدارة ، تسمى هوية نقطة النهاية، هي معرف Microsoft Entra يدعم Azure RBAC. لذلك، يمكنك تعيين أدوار Azure إلى الهوية للتحكم في الأذونات المطلوبة لتنفيذ العمليات. يمكن أن تكون هوية نقطة النهاية إما هوية معينة من قبل النظام (SAI) أو هوية معينة من قبل المستخدم (UAI). يمكنك تحديد أي من هذه الأنواع من الهويات لاستخدامها عند إنشاء نقطة النهاية.
- بالنسبة للهوية المعينة من قبل النظام، يتم إنشاء الهوية تلقائيا عند إنشاء نقطة النهاية، ويتم تعيين الأدوار ذات الأذونات الأساسية (مثل إذن سحب Azure Container Registry وقارئ بيانات كائن ثنائي كبير الحجم للتخزين) تلقائيا.
- بالنسبة للهوية المعينة من قبل المستخدم، تحتاج إلى إنشاء الهوية أولا، ثم إقرانها بنقطة النهاية عند إنشاء نقطة النهاية. أنت أيضا مسؤول عن تعيين الأدوار المناسبة إلى UAI حسب الحاجة.
لمزيد من المعلومات حول استخدام الهويات المدارة لنقطة نهاية، راجع كيفية الوصول إلى الموارد من نقاط النهاية ذات الهويات المدارة، ومثال استخدام الهويات المدارة للتفاعل مع الخدمات الخارجية.
تعيين الدور إلى هوية نقطة النهاية
الأدوار التالية مطلوبة من قبل المتاجر السرية:
- بالنسبة إلى الأسرار المخزنة في اتصالات مساحة العمل ضمن مساحة العمل الخاصة بك:
Workspace Connectionsيوفر واجهة برمجة تطبيقات List Secrets (معاينة) التي تتطلب الهوية التي تستدعي واجهة برمجة التطبيقات أن يكون لهاAzure Machine Learning Workspace Connection Secrets Readerدور (أو ما يعادله) معينا للهوية. - بالنسبة إلى الأسرار المخزنة في Microsoft Azure Key Vault خارجي: يوفر Key Vault واجهة برمجة تطبيقات Get Secret Versions التي تتطلب الهوية التي تستدعي واجهة برمجة التطبيقات للحصول على
Key Vault Secrets Userدور (أو ما يعادله) معين للهوية.
تنفيذ حقن البيانات السرية
بمجرد استرداد الأسرار (مثل مفاتيح API) من مخازن البيانات السرية، هناك طريقتان لإدخالها في حاوية مستخدم تعمل داخل النشر عبر الإنترنت:
- أدخل البيانات السرية بنفسك، باستخدام الهويات المدارة.
- أدخل البيانات السرية، باستخدام ميزة الحقن السري.
يتضمن كلا النهجين خطوتين:
- أولا، استرداد الأسرار من مخازن البيانات السرية، باستخدام هوية نقطة النهاية.
- ثانيا، أدخل الأسرار في حاوية المستخدم الخاصة بك.
الحقن السري عن طريق استخدام الهويات المدارة
في تعريف النشر الخاص بك، تحتاج إلى استخدام هوية نقطة النهاية لاستدعاء واجهات برمجة التطبيقات من المتاجر السرية. يمكنك تنفيذ هذا المنطق إما في البرنامج النصي لتسجيل النقاط أو في البرامج النصية shell التي تقوم بتشغيلها في حاوية BYOC. لتنفيذ إدخال البيانات السرية عن طريق استخدام الهويات المدارة، راجع مثال استخدام الهويات المدارة للتفاعل مع الخدمات الخارجية.
حقن البيانات السرية عبر ميزة الحقن السري
لاستخدام ميزة إدخال البيانات السرية، في تعريف النشر الخاص بك، قم بتعيين الأسرار (التي تريد الرجوع إليها) من اتصالات مساحة العمل أو Key Vault إلى متغيرات البيئة. لا يتطلب هذا الأسلوب منك كتابة أي تعليمة برمجية في البرنامج النصي لتسجيل النقاط أو في البرامج النصية shell التي تقوم بتشغيلها في حاوية BYOC الخاصة بك. لتعيين الأسرار من اتصالات مساحة العمل أو Key Vault إلى متغيرات البيئة، يجب استيفاء الشروط التالية:
- أثناء إنشاء نقطة النهاية، إذا تم تعريف نقطة نهاية عبر الإنترنت لفرض الوصول إلى المتاجر السرية الافتراضية (اتصالات مساحة العمل ضمن مساحة العمل الحالية)، يجب أن يكون لدى هوية المستخدم التي تنشئ النشر ضمن نقطة النهاية أذونات لقراءة الأسرار من اتصالات مساحة العمل.
- يجب أن يكون لهوية نقطة النهاية التي يستخدمها التوزيع أذونات لقراءة الأسرار من اتصالات مساحة العمل أو Key Vault، كما هو مشار إليه في تعريف النشر.
إشعار
- إذا تم إنشاء نقطة النهاية بنجاح باستخدام SAI وتعيين العلامة لفرض الوصول إلى المخازن السرية الافتراضية، فسيكون لنقطة النهاية إذن اتصالات مساحة العمل تلقائيا.
- في حالة استخدام نقطة النهاية UAI، أو العلامة لفرض الوصول إلى المخازن السرية الافتراضية، فقد لا يكون لهوية نقطة النهاية إذن اتصالات مساحة العمل. في مثل هذه الحالة، تحتاج إلى تعيين دور اتصالات مساحة العمل يدويا إلى هوية نقطة النهاية.
- لن تتلقى هوية نقطة النهاية تلقائيا إذن Key Vault الخارجي. إذا كنت تستخدم Key Vault كمخزن سري، فستحتاج إلى تعيين دور Key Vault يدويا إلى هوية نقطة النهاية.
لمزيد من المعلومات حول استخدام الحقن السري، راجع نشر نماذج التعلم الآلي إلى نقاط النهاية عبر الإنترنت مع حقن البيانات السرية (معاينة).