استخدام المفاتيح التي يديرها العميل مع التعلم الآلي من Azure
في مقالة مفاهيم المفاتيح التي يديرها العميل، تعرفت على قدرات التشفير التي يوفرها التعلم الآلي من Azure. تعرف الآن على كيفية استخدام المفاتيح التي يديرها العميل مع التعلم الآلي من Azure.
يعتمد Azure التعلم الآلي على الخدمات التالية التي تستخدم المفاتيح المدارة من قبل العملاء:
| الخدمة | سبب استخدام كلٍ منهما |
|---|---|
| Azure Cosmos DB | تخزين بيانات التعريف لنظام التعلم الآلي من Azure |
| خدمة الذكاء الاصطناعي Azure AI Search | تخزين بيانات تعريف مساحة العمل للتعلم الآلي من Azure |
| تخزين Azure | تخزين بيانات تعريف مساحة العمل للتعلم الآلي من Azure |
| Azure Kubernetes Service | استضافة النماذج المدربة كنقاط نهاية للاستدلال |
يمكنك استخدام نفس المفتاح للمساعدة في تأمين Azure Cosmos DB وAzure الذكاء الاصطناعي Search وAzure Storage. يمكنك استخدام مفتاح مختلف لخدمة Azure Kubernetes.
عند استخدام مفتاح يديره العميل مع Azure Cosmos DB وAzure الذكاء الاصطناعي Search وAzure Storage، يتم توفير المفتاح عند إنشاء مساحة العمل الخاصة بك. يتم توفير المفتاح الذي تستخدمه مع خدمة Azure Kubernetes عند تكوين هذا المورد.
| الخدمة | سبب استخدام كلٍ منهما |
|---|---|
| Azure Cosmos DB | تخزين بيانات التعريف لنظام التعلم الآلي من Azure |
| خدمة الذكاء الاصطناعي Azure AI Search | تخزين بيانات تعريف مساحة العمل للتعلم الآلي من Azure |
| تخزين Azure | تخزين بيانات تعريف مساحة العمل للتعلم الآلي من Azure |
| Azure Kubernetes Service | استضافة النماذج المدربة كنقاط نهاية للاستدلال |
| مثيلات حاوية Azure | استضافة النماذج المدربة كنقاط نهاية للاستدلال |
يمكنك استخدام نفس المفتاح للمساعدة في تأمين Azure Cosmos DB وAzure الذكاء الاصطناعي Search وAzure Storage. يمكنك استخدام مفتاح مختلف لخدمة Azure Kubernetes ومثيلات حاوية Azure.
عند استخدام مفتاح يديره العميل مع Azure Cosmos DB وAzure الذكاء الاصطناعي Search وAzure Storage، يتم توفير المفتاح عند إنشاء مساحة العمل الخاصة بك. يتم توفير المفاتيح التي تستخدمها مع مثيلات حاوية Azure وخدمة Azure Kubernetes عند تكوين هذه الموارد.
المتطلبات الأساسية
اشتراك Azure.
يجب تسجيل موفري موارد Azure التاليين:
موفر الموارد سبب الحاجة إليه Microsoft.MachineLearning إنشاء مِساحة عمل التعلم الآلي من Azure. Microsoft.Storage يتم استخدام حساب التخزين كمساحة تخزين افتراضية لمساحة العمل. Microsoft.KeyVault تستخدم مساحة العمل Azure Key Vault لتخزين البيانات السرية. Microsoft.DocumentDB مثيل Azure Cosmos DB الذي يسجل بيانات التعريف لمساحة العمل. Microsoft.Search يوفر Azure الذكاء الاصطناعي Search قدرات الفهرسة لمساحة العمل. للحصول على معلومات بشأن تسجيل موفري الموارد، راجع حل الأخطاء لتسجيل موفر المورد.
القيود
- بعد إنشاء مساحة العمل، يمكن تحديث مفتاح التشفير المدار من قبل العميل للموارد التي تعتمد عليها مساحة العمل فقط إلى مفتاح آخر في مورد Azure Key Vault الأصلي.
- لا يمكن للموارد التي تديرها Microsoft في اشتراكك نقل الملكية إليك.
- لا يمكنك حذف الموارد التي تديرها Microsoft والمستخدمة للمفاتيح التي يديرها العميل دون حذف مساحة العمل أيضاً.
- يجب أن يكون مخزن المفاتيح الذي يحتوي على المفتاح الذي يديره العميل في نفس اشتراك Azure مثل مساحة عمل Azure التعلم الآلي.
- لا يمكن تشفير قرص نظام التشغيل لحساب التعلم الآلي باستخدام مفتاح مدار من قبل العميل، ولكن يمكن تشفيره باستخدام المفتاح المدار من Microsoft إذا تم إنشاء مساحة العمل مع
hbi_workspaceتعيين المعلمة إلىTRUE. لمزيد من التفاصيل، راجع تشفير البيانات.
هام
عند استخدام مفتاح يديره العميل، ستكون تكاليف اشتراكك أعلى بسبب الموارد الإضافية في اشتراكك. لتقدير التكلفة، استخدم حاسبة أسعار Azure.
إنشاء Azure Key Vault
لإنشاء مخزن المفاتيح، راجع إنشاء مخزن مفاتيح. عند إنشاء Azure Key Vault، يجب تمكين الحذف المبدئي والحماية من الإزالة.
هام
يجب أن يكون مخزن المفاتيح في نفس اشتراك Azure الذي سيحتوي على مساحة عمل Azure التعلم الآلي.
إنشاء مفتاح
تلميح
إذا كنت تواجه مشكلات في إنشاء المفتاح، فقد يكون سبب ذلك عناصر التحكم في الوصول المستندة إلى الدور في Azure التي تم تطبيقها في اشتراكك. تأكد من أن أساس الأمان (المستخدم، والهوية المُدارة، وكيان الخدمة، وما إلى ذلك) الذي تستخدمه لإنشاء المفتاح قد تم تعيينه لدور المساهم لمثيل مخزن المفاتيح. يجب عليك أيضاً تكوين نهج الوصول في مخزن المفاتيح الذي يمنح أساس الأمان تخويلالإنشاء والحصول والحذف والإزالة.
إذا كنت تخطط لاستخدام هوية مدارة معينة من قبل المستخدم لمساحة العمل، يجب أيضاً تعيين هذه الأدوار ونهج الوصول إلى الهوية المدارة.
لمزيد من المعلومات، راجع المقالات التالية:
من مدخل Azure، حدد مثيل مخزن المفاتيح. ثم حدد المفاتيح من القائمة اليمنى.
حدد + إنشاء/استيراد من أعلى الصفحة. استخدم القيم التالية لإنشاء مفتاح:
- قم بتعيين الخيارات على إنشاء.
- قم بإدخال اسم للمفتاح. يجب أن يكون الاسم شيئاً يحدد ما هو الاستخدام المخطط له. على سبيل المثال،
my-cosmos-key - قم بتعيين نوع المفتاح إلى RSA.
- نوصي بتحديد 3072 على الأقل لحجم مفتاح RSA.
- اترك الخيار تمكين معيناً على «نعم».
يمكنك اختيارياً تعيين تاريخ تنشيط وتاريخ انتهاء الصلاحية والعلامات.
حدد إنشاء لإنشاء المفتاح.
السماح لـ Azure Cosmos DB بالوصول إلى المفتاح
- لتكوين مخزن المفاتيح، حدده في مدخل Azure، ثم حدد نهج الوصول من القائمة اليمنى.
- لإنشاء أذونات لـ Azure Cosmos DB، حدد + إنشاء في أعلى الصفحة. ضمن أذونات المفتاح، حدد أذونات الحصول على وإلغاء تضمين المفتاح وتضمين المفتاح.
- ضمن أساسي، ابحث عن Azure Cosmos DB، ثم حدده. المعرف الأساسي لهذا الإدخال يتمثل في
a232010e-820c-4083-83bb-3ace5fc29d0bلجميع المناطق بخلاف Azure Government. بالنسبة لـ Azure Government، المعرف الأساسي هو57506a73-e302-42a9-b869-6f12d9ec29e9. - حدد «Review + Create»، ثم حدد «Create».
إنشاء مساحة عمل تستخدم مفتاحاً يديره العميل
أنشئ مساحة عمل التعلم الآلي من Azure. عند إنشاء مساحة العمل، يجب تحديد Key Vault Azure والمفتاح. اعتماداً على كيفية إنشاء مساحة العمل، يمكنك تحديد هذه الموارد بطرق مختلفة:
تحذير
يجب أن يكون مخزن المفاتيح الذي يحتوي على المفتاح الذي يديره العميل في نفس اشتراك Azure مثل مساحة العمل.
مدخل Azure: حدد مخزن المفاتيح والمفتاح من مربع إدخال القائمة المنسدلة عند تكوين مساحة العمل.
قوالب SDK وواجهة برمجة تطبيقات REST وAzure Resource Manager: توفر معرف Azure Resource Manager لمخزن المفاتيح وعنوان URL للمفتاح. للحصول على هذه القيم، استخدم Azure CLI والأوامر التالية:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kidستكون قيمة معرف مخزن المفاتيح مشابهة لـ
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv. سيكون عنوان URL للمفتاح مشابها لـhttps://mykv.vault.azure.net/keys/mykey/{GUID}.
للحصول على أمثلة لإنشاء مساحة العمل باستخدام مفتاح مدار من قبل العميل، راجع المقالات التالية:
| أسلوب الإنشاء | مقالة |
|---|---|
| CLI | إنشاء مساحة عمل باستخدام Azure CLI |
| مدخل Azure / Python SDK |
إنشاء مساحة عمل وإدارتها |
| قالب Azure Resource Manager |
إنشاء مساحة عمل باستخدام قالب |
| واجهة برمجة تطبيقات REST | إنشاء موارد Azure التعلم الآلي وتشغيلها وحذفها باستخدام REST |
بمجرد إنشاء مساحة العمل، ستلاحظ أنه يتم إنشاء مجموعة موارد Azure في اشتراكك. توجد هذه المجموعة بالإضافة إلى مجموعة الموارد لمساحة العمل. ستحتوي مجموعة الموارد هذه على الموارد التي تديرها Microsoft والتي يتم استخدام المفتاح معها. ستتم تسمية مجموعة الموارد باستخدام صيغة <Azure Machine Learning workspace resource group name><GUID>. سيحتوي على مثيل Azure Cosmos DB وحساب تخزين Azure وAzure الذكاء الاصطناعي Search.
تلميح
- يتم تغيير سعة وحدات الطلب لمثيل Azure Cosmos DB تلقائيًا حسب الحاجة.
- إذا كانت مساحة عمل التعلم الآلي من Azure تستخدم نقطة نهاية خاصة، فستحتوي مجموعة الموارد هذه أيضاً على شبكة Azure ظاهرية تديرها Microsoft. يتم استخدام الشبكة الظاهرية هذه لتأمين الاتصالات بين الخدمات المدارة ومساحة العمل. لا يمكنك توفير الشبكة الظاهرية الخاصة بك للاستخدام مع الموارد التي تديرها Microsoft. لا يمكنك أيضاً تعديل الشبكة الظاهرية. على سبيل المثال، لا يمكنك تغيير نطاق عناوين IP الذي تستخدمه.
هام
إذا لم يكن لاشتراكك حصة نسبية كافية لهذه الخدمات، فسيحدث فشل.
تحذير
لا تحذف مجموعة الموارد التي تحتوي على مثيل Azure Cosmos DB هذا، أو أي من الموارد التي تم إنشاؤها تلقائياَ في هذه المجموعة. إذا كنت بحاجة إلى حذف مجموعة الموارد أو الخدمات التي تديرها Microsoft فيها، يجب حذف مساحة عمل التعلم الآلي من Azure التي تستخدمها. يتم حذف موارد مجموعة الموارد عند حذف مساحة العمل المقترنة.
لمزيد من المعلومات حول المفاتيح المدارة بواسطة العميل باستخدام Azure Cosmos DB، راجع تكوين المفاتيح المدارة بواسطة العميل لحساب Azure Cosmos DB الخاص بك.
مثيل حاوية Azure
هام
النشر إلى مثيلات حاوية Azure غير متوفر في SDK أو CLI v2. فقط من خلال SDK وCLI v1.
عند توزيع نموذج مدرب على مثيل حاوية Azure (ACI)، يمكنك تشفير المورد الموزع باستخدام مفتاح يديره العميل. للحصول على معلومات حول إنشاء مفتاح، راجع تشفير البيانات باستخدام مفتاح يديره العميل.
لاستخدام المفتاح عند توزيع نموذج إلى مثيل حاوية Azure، قم بإنشاء تكوين توزيع جديد باستخدام AciWebservice.deploy_configuration(). توفير المعلومات الرئيسية باستخدام المعلمات التالية:
cmk_vault_base_url: عنوان URL لمخزن المفاتيح الذي يحتوي على المفتاح.cmk_key_name: اسم المفتاح.cmk_key_version: إصدار المفتاح.
لمزيد من المعلومات حول إنشاء تكوين توزيع واستخدامه، راجع المقالات التالية:
نشر نموذج إلى مثيلات حاوية Azure (SDK/CLI v1)
لمزيد من المعلومات حول استخدام مفتاح يديره العميل مع ACI، راجع تشفير بيانات التوزيع.
Azure Kubernetes Service
يمكنك تشفير مورد Azure Kubernetes Service الذي تم توزيعه باستخدام مفاتيح يديرها العميل في أي وقت. لمزيد من المعلومات، راجع إحضار المفاتيح الخاصة بك باستخدام Azure Kubernetes Service.
تسمح لك هذه العملية بتشفير كل من البيانات وقرص نظام التشغيل للأجهزة الظاهرية الموزع في نظام مجموعة Kubernetes.
هام
تعمل هذه العملية فقط مع AKS K8s الإصدار 1.17 أو أعلى.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ