Správa dat
Zjistěte, jak spravovat přístup k datům a jak se ověřovat ve službě Azure Machine Učení
PLATÍ PRO:
Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)
Důležité
Tento článek je určený pro správce Azure, kteří chtějí vytvořit požadovanou infrastrukturu pro řešení azure machine Učení.
Ověřování dat na základě přihlašovacích údajů
Ověřování dat na základě přihlašovacích údajů obecně zahrnuje tyto kontroly:
Má uživatel, který přistupuje k datům z úložiště dat založených na přihlašovacích údajích, přiřazenou roli RBAC, která obsahuje
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?- Toto oprávnění se vyžaduje k načtení přihlašovacích údajů z úložiště dat jménem uživatele.
- Předdefinované role, které obsahují toto oprávnění, už jsou role Přispěvatel, Azure AI Developer nebo AML Datoví vědci role. Pokud se používá vlastní role, musíme také zajistit, aby se toto oprávnění přidalo do této vlastní role.
- Musíte vědět , který konkrétní uživatel se pokouší získat přístup k datům. Může to být skutečný uživatel s identitou uživatele nebo výpočetní službou MSI atd., můžete zkontrolovat části Scénáře a možnosti ověřování a zjistit, k jaké identitě potřebujete přidat oprávnění.
Mají uložené přihlašovací údaje (instanční objekt, klíč účtu nebo token SAS) přístup k datovému prostředku?
Ověřování dat na základě identit
Ověřování dat na základě identit obecně zahrnuje tyto kontroly:
- Který uživatel chce získat přístup k prostředkům?
- V závislosti na conextu při přístupu k datům jsou k dispozici různé typy ověřování, například
- identita uživatele
- výpočetní spravovaná identita
- spravovaná identita pracovního prostoru
- Úlohy, včetně možnosti Generovat profil datové sady, běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Spravovaná identita výpočetních prostředků potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal.
- Pro ověřování na základě identity uživatele musíte vědět , který konkrétní uživatel se pokusil získat přístup k prostředku úložiště. Další informace o ověřování uživatelů najdete v tématu ověřování pro azure machine Učení. Další informace o ověřování na úrovni služby najdete v tématu Ověřování mezi Učení Azure a dalšími službami.
- V závislosti na conextu při přístupu k datům jsou k dispozici různé typy ověřování, například
- Má tento uživatel oprávnění ke čtení?
- Má identita uživatele nebo spravovaná identita výpočetních prostředků atd., potřebná oprávnění k danému prostředku úložiště? Oprávnění se uděluje pomocí řízení přístupu na základě role v Azure (Azure RBAC).
- Čtenář účtu úložiště čte metadata úložiště.
- Čtenář dat objektů blob služby Storage čte a vypíše kontejnery a objekty blob úložiště objektů blob.
- Další předdefinované role Azure pro úložiště najdete tady.
- Má tento uživatel oprávnění k zápisu?
- Má identita uživatele nebo spravovaná identita výpočetních prostředků atd., potřebná oprávnění k danému prostředku úložiště? Oprávnění se uděluje pomocí řízení přístupu na základě role v Azure (Azure RBAC).
- Čtenář účtu úložiště čte metadata úložiště.
- Přispěvatel dat objektů blob služby Storage čte, zapisuje a odstraňuje kontejnery a objekty blob služby Azure Storage.
- Další předdefinované role Azure pro úložiště najdete tady.
Další obecné kontroly ověřování
- Odkud přístup pochází?
- Uživatel: Je IP adresa klienta v rozsahu virtuální sítě nebo podsítě?
- Pracovní prostor: Je pracovní prostor veřejný nebo má privátní koncový bod ve virtuální síti nebo podsíti?
- Úložiště: Povoluje úložiště veřejný přístup nebo omezuje přístup prostřednictvím koncového bodu služby nebo privátního koncového bodu?
- Jaká operace se provede?
- Azure Machine Učení zpracovává operace vytvoření, čtení, aktualizace a odstranění (CRUD) v úložišti dat nebo datové sadě.
- Operace archivace datových prostředků v sadě Studio vyžadují tuto operaci RBAC:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete - Volání Accessu k datům (například Preview nebo schéma) přejděte do podkladového úložiště a potřebujete další oprávnění.
- Spustí se tato operace ve výpočetních prostředcích předplatného Azure nebo prostředcích hostovaných v předplatném Microsoftu?
- Všechna volání datových sad a služeb úložiště dat (s výjimkou možnosti Generovat profil) ke spuštění operací používají prostředky hostované v předplatném Microsoftu.
- Úlohy, včetně možnosti Generovat profil datové sady, běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Výpočetní identita potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal.
Tento diagram znázorňuje obecný tok volání přístupu k datům. Tady se uživatel pokusí volat přístup k datům prostřednictvím pracovního prostoru strojového učení bez použití výpočetního prostředku.
Scénáře a možnosti ověřování
Tato tabulka obsahuje seznam identit, které se mají použít pro konkrétní scénáře:
| Konfigurace | Místní nebo poznámkový počítač sady SDK | Úloha | Náhled datové sady | Procházení úložiště dat |
|---|---|---|---|---|
| Přihlašovací údaje + MSI pracovního prostoru | Reference | Reference | MSI pracovního prostoru | Přihlašovací údaje (pouze klíč účtu a token SAS) |
| Bez přihlašovacích údajů + MSI pracovního prostoru | Výpočetní MSI nebo identita uživatele | Výpočetní msi / identita uživatele | MSI pracovního prostoru | Identita uživatele |
| Přihlašovací údaje + Bez MSI pracovního prostoru | Reference | Reference | Přihlašovací údaje (nepodporuje se pro datovou sadu Preview v privátní síti) | Přihlašovací údaje (pouze klíč účtu a token SAS) |
| Žádné přihlašovací údaje + Žádná MSI pracovního prostoru | Výpočetní MSI nebo identita uživatele | Výpočetní msi / identita uživatele | Identita uživatele | Identita uživatele |
V případě sady SDK V1 ověřování dat v úloze vždy používá výpočetní MSI. U sady SDK V2 závisí ověřování dat v úloze na nastavení úlohy: může být identita uživatele nebo výpočetní MSI na základě vašeho nastavení.
Tip
Pokud chcete přistupovat k datům mimo azure Machine Učení, například s Průzkumník služby Azure Storage, bude tento přístup pravděpodobně záviset na identitě uživatele. Konkrétní informace najdete v dokumentaci k nástroji nebo službě, kterou používáte. Další informace o tom, jak Azure Machine Učení funguje s daty, najdete v tématu Nastavení ověřování mezi Učení Azure Machine a dalšími službami.
Požadavky specifické pro virtuální síť
Následující informace vám pomůžou nastavit ověřování dat pro přístup k datům za virtuální sítí z pracovního prostoru Azure Machine Učení.
Přidání oprávnění účtu úložiště Azure do spravované identity pracovního prostoru Azure Machine Učení
Pokud používáte účet služby Azure Storage z studio Azure Machine Learning, pokud chcete zobrazit datovou sadu Preview, musíte v nastavení úložiště dat povolit možnost Použít spravovanou identitu pracovního prostoru pro náhled dat a profilaci v studio Azure Machine Learning a přidat tyto role Azure RBAC účtu úložiště do spravované identity pracovního prostoru:
- Čtenář dat objektů blob
- Pokud účet úložiště používá privátní koncový bod pro připojení k virtuální síti, musíte spravované identitě udělit roli Čtenář pro privátní koncový bod účtu úložiště.
Další informace najdete v tématu Použití studio Azure Machine Learning ve službě Azure Virtual Network.
Následující části popisují omezení používání účtu úložiště Azure s pracovním prostorem ve virtuální síti.
Zabezpečená komunikace s účtem azure Storage
Pokud chcete zabezpečit komunikaci mezi účty Azure Machine Učení a Azure Storage, nakonfigurujte úložiště tak, aby udělil přístup důvěryhodným službám Azure.
Brána firewall služby Azure Storage
Pokud je účet služby Azure Storage umístěný za virtuální sítí, brána firewall úložiště se dá normálně použít k tomu, aby se klient mohl přímo připojit přes internet. Při použití studia se ale váš klient nepřipojí k účtu úložiště. Služba Azure Machine Učení, která požadavek připojí k účtu úložiště. IP adresa služby není zdokumentovaná a často se mění. Povolení brány firewall úložiště nepovolí studiu přístup k účtu úložiště v konfiguraci virtuální sítě.
Typ koncového bodu služby Azure Storage
Pokud pracovní prostor používá privátní koncový bod a účet úložiště je také ve virtuální síti, při použití studia vznikají další požadavky na ověření:
- Pokud účet úložiště používá koncový bod služby, musí se privátní koncový bod pracovního prostoru a koncový bod služby úložiště nacházet ve stejné podsíti virtuální sítě.
- Pokud účet úložiště používá privátní koncový bod, musí se privátní koncový bod pracovního prostoru a privátní koncový bod úložiště nacházet ve stejné virtuální síti. V tomto případě se můžou nacházet v různých podsítích.
Azure Data Lake Storage Gen1
Při použití Azure Data Lake Storage Gen1 jako úložiště dat můžete použít pouze seznamy řízení přístupu ve stylu POSIX. Spravovaný přístup k prostředkům pracovního prostoru můžete přiřadit stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Řízení přístupu v Azure Data Lake Storage Gen1.
Azure Data Lake Storage Gen2
Při použití Azure Data Lake Storage Gen2 jako úložiště dat můžete k řízení přístupu v rámci virtuální sítě použít seznamy řízení přístupu ve stylu Azure RBAC i seznamy řízení přístupu (ACL) ve stylu POSIX.
Pokud chcete použít Azure RBAC, postupujte podle kroků popsaných v tomto úložišti dat: Článek o účtu úložiště Azure. Data Lake Storage Gen2 je založená na Azure Storage, takže stejný postup platí i při použití Azure RBAC.
Pokud chcete používat seznamy ACL, může mít spravovaná identita pracovního prostoru přiřazený přístup stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Seznamy řízení přístupu k souborům a adresářům.
Další kroky
Informace o povolení studia v síti najdete v tématu Použití studio Azure Machine Learning ve službě Azure Virtual Network.