Ügyfél által felügyelt kulcsok az Azure Machine Learninghez
Az Azure Machine Learning több Azure-szolgáltatásra épül. Bár a tárolt adatok titkosítása a Microsoft által biztosított titkosítási kulcsokkal történik, saját (ügyfél által felügyelt) kulcsok biztosításával is növelheti a biztonságot. A megadott kulcsokat az Azure Key Vault tárolja. Az adatok tárolhatók az Azure-előfizetésben kezelt egyéb erőforrásokon, vagy (előzetes verzióban) kiszolgálóoldalon a Microsoft által felügyelt erőforrásokon.
Az ügyfél által felügyelt kulcsok (CMK) mellett az Azure Machine Learning hbi_workspace jelzőt is biztosít. A jelző engedélyezése csökkenti a Microsoft által diagnosztikai célokra gyűjtött adatok mennyiségét, és lehetővé teszi a További titkosítást a Microsoft által felügyelt környezetekben. Ez a jelző a következő viselkedéseket is lehetővé teszi:
- Elkezdi titkosítani az Azure Machine Learning számítási fürt helyi karcoláslemezét, ha nem hoz létre korábbi fürtöket az előfizetésben. Ellenkező esetben támogatási jegyet kell létrehoznia a számítási fürtök kaparólemezének titkosításának engedélyezéséhez.
- Megtisztítja a helyi üres lemezt a feladatok között.
- A kulcstartó használatával biztonságosan továbbítja a tárfiók, a tárolóregisztrációs adatbázis és a Secure Shell-fiók hitelesítő adatait a végrehajtási rétegből a számítási fürtökbe.
A hbi_workspace jelző nem befolyásolja az átvitel közbeni titkosítást. Csak a inaktív titkosításra van hatással.
Előfeltételek
- Azure-előfizetés.
- Egy Azure Key Vault-példány. A kulcstartó tartalmazza a szolgáltatások titkosításához szükséges kulcsokat.
A kulcstartónak engedélyeznie kell a helyreállítható törlési és törlési védelmet. Az ügyfél által felügyelt kulccsal biztonságossá tenni kívánt szolgáltatások felügyelt identitásának a következő engedélyekkel kell rendelkeznie a kulcstartóhoz:
- Kulcs becsomagolása
- Kulcs kicsomagolása
- Beolvasás
Az Azure Cosmos DB felügyelt identitásának például rendelkeznie kell ezekkel az engedélyekkel a kulcstartóhoz.
Korlátozások
- A munkaterület létrehozása után a munkaterülettől függő erőforrások ügyfél által felügyelt titkosítási kulcsa csak az eredeti Azure Key Vault-erőforrás egy másik kulcsára frissíthető.
- Ha nem a kiszolgálóoldali előzetes verziót használja, a titkosított adatok az előfizetés Microsoft által felügyelt erőforráscsoportjában lévő erőforrásokon lesznek tárolva. Ezeket az erőforrásokat nem hozhatja létre előre, és nem ruházhatja át a tulajdonjogát Önnek. Az adatok életciklusát közvetett módon kezeli az Azure Machine Learning API-k segítségével, amikor objektumokat hoz létre az Azure Machine Learning szolgáltatásban.
- Az ügyfél által felügyelt kulcsokhoz használt Microsoft által felügyelt erőforrások nem törölhetők a munkaterület törlése nélkül.
- Az ügyfél által felügyelt kulcsokkal nem titkosíthatja a számítási fürt operációsrendszer-lemezét. Microsoft által felügyelt kulcsokat kell használnia.
Figyelmeztetés
Ne törölje az Azure Cosmos DB-példányt tartalmazó erőforráscsoportot vagy a csoportban automatikusan létrehozott erőforrásokat. Ha törölnie kell az erőforráscsoportot vagy a Microsoft által felügyelt szolgáltatásokat, törölnie kell az azt használó Azure Machine Learning-munkaterületet. A társított munkaterület törlésekor az erőforráscsoport erőforrásai törlődnek.
Felhasználó által kezelt kulcsok
Ha nem használ ügyfél által felügyelt kulcsot, a Microsoft erőforrásokat hoz létre és kezel egy Microsoft-tulajdonú Azure-előfizetésben, és egy Microsoft által felügyelt kulccsal titkosítja az adatokat.
Ha ügyfél által felügyelt kulcsot használ, az erőforrások az Azure-előfizetésben találhatók, és titkosítva vannak a kulccsal. Bár ezek az erőforrások az előfizetésben léteznek, a Microsoft kezeli őket. Ezeket az erőforrásokat a rendszer automatikusan létrehozza és konfigurálja az Azure Machine Learning-munkaterület létrehozásakor.
Ezek a Microsoft által felügyelt erőforrások az előfizetésben létrehozott új Azure-erőforráscsoportban találhatók. Ez az erőforráscsoport külön van a munkaterület erőforráscsoportjától. Tartalmazza azokat a Microsoft által felügyelt erőforrásokat, amelyekkel a kulcs használható. Az erőforráscsoport elnevezésének képlete: <Azure Machine Learning workspace resource group name><GUID>.
Tipp.
Az Azure Cosmos DB kérelemegységei szükség szerint automatikusan skálázhatók.
Ha az Azure Machine Learning-munkaterület privát végpontot használ, ez az erőforráscsoport egy Microsoft által felügyelt Azure-beli virtuális hálózatot is tartalmaz. Ez a virtuális hálózat segít a felügyelt szolgáltatások és a munkaterület közötti kommunikáció biztonságossá tételében. Nem adhat meg saját virtuális hálózatot a Microsoft által felügyelt erőforrások használatához. A virtuális hálózatot nem módosíthatja. Például nem módosíthatja a használt IP-címtartományt.
Fontos
Ha az előfizetése nem rendelkezik elegendő kvótával ezekhez a szolgáltatásokhoz, hiba történik.
Ha ügyfél által felügyelt kulcsot használ, az előfizetés költségei magasabbak, mivel ezek az erőforrások az előfizetésben találhatók. A költségek becsléséhez használja az Azure díjkalkulátorát.
Számítási erőforrások adatainak titkosítása
Az Azure Machine Learning számítási erőforrásokat használ a gépi tanulási modellek betanítása és üzembe helyezése érdekében. Az alábbi táblázat a számítási beállításokat és az adatok titkosításának módját ismerteti:
| Compute | Titkosítás |
|---|---|
| Azure Container Instances | Az adatok titkosítása Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal történik. További információ: Az üzembehelyezési adatok titkosítása. |
| Azure Kubernetes Service | Az adatok titkosítása Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal történik. További információ: Saját kulcsok használata Azure-lemezekkel az Azure Kubernetes Service-ben. |
| Azure Machine Learning számítási példány | A rendszer titkosítja a helyi lemezt, ha engedélyezi a hbi_workspace munkaterület jelzőjének használatát. |
| Azure Machine Learning számítási fürt | Az operációsrendszer-lemez a Microsoft által felügyelt kulcsokkal van titkosítva az Azure Storage-ban. Az ideiglenes lemez titkosítva lesz, ha engedélyezi a hbi_workspace munkaterület jelzőjének használatát. |
| Compute | Titkosítás |
|---|---|
| Azure Kubernetes Service | Az adatok titkosítása Microsoft által felügyelt kulccsal vagy ügyfél által felügyelt kulccsal történik. További információ: Saját kulcsok használata Azure-lemezekkel az Azure Kubernetes Service-ben. |
| Azure Machine Learning számítási példány | A rendszer titkosítja a helyi lemezt, ha engedélyezi a hbi_workspace munkaterület jelzőjének használatát. |
| Azure Machine Learning számítási fürt | Az operációsrendszer-lemez a Microsoft által felügyelt kulcsokkal van titkosítva az Azure Storage-ban. Az ideiglenes lemez titkosítva lesz, ha engedélyezi a hbi_workspace munkaterület jelzőjének használatát. |
Számítási fürt
A számítási fürtök helyi operációsrendszer-lemeztárolóval rendelkeznek, és az előfizetésben lévő tárfiókokból származó adatokat csatlakoztathatják egy feladat során. Amikor saját tárfiókból csatlakoztat adatokat egy feladathoz, engedélyezheti az ügyfél által felügyelt kulcsokat ezeken a tárfiókokon titkosítás céljából.
Az egyes számítási csomópontok operációsrendszer-lemeze az Azure Storage-ban van tárolva, és mindig Microsoft által felügyelt kulcsokkal van titkosítva az Azure Machine Learning Storage-fiókokban, és nem ügyfél által felügyelt kulcsokkal. Ez a számítási cél rövid ideig érvényes, ezért az operációsrendszer-lemezen tárolt adatok a fürt leskálázása után törlődnek. A fürtök általában leskálázódnak, ha nincsenek várólistára helyezett feladatok, az automatikus skálázás be van kapcsolva, és a minimális csomópontszám nullára van állítva. A mögöttes virtuális gép le lesz bontva, és az operációsrendszer-lemez törlődik.
Az Azure Disk Encryption nem támogatott az operációsrendszer-lemezen. Minden virtuális gép helyi ideiglenes lemezzel is rendelkezik az operációs rendszer műveleteihez. Ha szeretné, a lemez használatával szakaszosítheti a betanítási adatokat. Ha a munkaterületet a hbi_workspace megadott TRUEparaméterrel hozza létre, az ideiglenes lemez titkosítva lesz. Ez a környezet rövid élettartamú (csak a feladat során), és a titkosítási támogatás csak a rendszer által felügyelt kulcsra korlátozódik.
Számítási példány
A számítási példány operációsrendszer-lemeze Microsoft által felügyelt kulcsokkal van titkosítva az Azure Machine Learning-tárfiókokban. Ha a munkaterületet a hbi_workspace megadott TRUEparaméterrel hozza létre, a számítási példány helyi ideiglenes lemeze Microsoft által felügyelt kulcsokkal lesz titkosítva. Az ügyfél által felügyelt kulcstitkosítás operációs rendszer és ideiglenes lemezek esetében nem támogatott.
Titkosított munkaterület metaadatainak tárolása
Saját titkosítási kulcs használata esetén a szolgáltatás metaadatai dedikált erőforrásokon lesznek tárolva az Azure-előfizetésben. A Microsoft külön erőforráscsoportot hoz létre az előfizetésében erre a célra: azureml-rg-workspacename_GUID. Ebben a felügyelt erőforráscsoportban csak a Microsoft módosíthatja az erőforrásokat.
A Microsoft a következő erőforrásokat hozza létre a munkaterület metaadatainak tárolásához:
| Szolgáltatás | Használat | Példaadatok |
|---|---|---|
| Azure Cosmos DB | A feladatelőzmények adatait, a számítási metaadatokat és az eszköz metaadatait tárolja. | Az adatok tartalmazhatnak feladatnevet, állapotot, sorszámot és állapotot; számítási fürt neve, magok száma és csomópontok száma; adattárolók nevei és címkéi, valamint az olyan eszközök leírásai, mint a modellek; és az adatfeliratok nevei. |
| Azure AI Keresés | Tárolja azokat az indexeket, amelyek segítenek a gépi tanulási tartalmak lekérdezésében. | Ezek az indexek az Azure Cosmos DB-ben tárolt adatokra épülnek. |
| Azure Storage | Az Azure Machine Learning-folyamat adataihoz kapcsolódó metaadatokat tárolja. | Az adatok tartalmazhatnak tervezői folyamatneveket, folyamatelrendezést és végrehajtási tulajdonságokat. |
Az adatéletciklus-kezelés szempontjából az előző erőforrásokban lévő adatok az Azure Machine Learning megfelelő objektumainak létrehozásakor és törlésekor jönnek létre és törlődnek.
Az Azure Machine Learning-munkaterület a felügyelt identitás használatával olvas és ír adatokat. Ez az identitás hozzáférést kap az erőforrásokhoz egy szerepkör-hozzárendeléssel (Azure szerepköralapú hozzáférés-vezérléssel) az adaterőforrásokon. A megadott titkosítási kulcs a Microsoft által felügyelt erőforrásokon tárolt adatok titkosítására szolgál. Futásidőben a kulcs az Azure AI Search indexeinek létrehozásához is használható.
A további hálózati vezérlők akkor vannak konfigurálva, ha privát kapcsolati végpontot hoz létre a munkaterületen a bejövő kapcsolatok engedélyezéséhez. Ez a konfiguráció magában foglalja egy privát kapcsolat végpontkapcsolatának létrehozását az Azure Cosmos DB-példányhoz. A hálózati hozzáférés csak megbízható Microsoft-szolgáltatások korlátozott.
(Előzetes verzió) Metaadatok szolgáltatásoldali titkosítása
Az ügyfél által felügyelt kulcstitkosítási munkaterület új architektúrája előzetes verzióban érhető el, ami csökkenti a jelenlegi architektúrához képest járó költségeket, és csökkenti az Azure-szabályzatütközések valószínűségét. Ebben az új modellben a titkosított adatok szolgáltatásoldali tárolása a Microsoft által felügyelt erőforrásokon történik az előfizetés helyett.
Az előfizetésben korábban az Azure Cosmos DB-ben tárolt adatokat a microsoft által felügyelt, dokumentumszintű titkosítással rendelkező, több-bérlős erőforrások tárolják a titkosítási kulccsal. Az előfizetésében korábban az Azure AI Searchben tárolt keresési indexek a Microsoft által felügyelt erőforrásokon vannak tárolva, amelyek munkaterületenként dedikáltan vannak kiépítve. Az Azure AI-keresési példány költségeit a Microsoft Cost Management Azure Machine Learning-munkaterülete alapján számítjuk fel.
A folyamat metaadatai, amelyeket korábban egy felügyelt erőforráscsoport tárfiókjában tároltak, mostantól az Azure Machine Learning-munkaterülethez társított előfizetés tárfiókjában lesznek tárolva. Mivel ezt az Azure Storage-erőforrást külön kezeli az előfizetése, ön a felelős a titkosítási beállítások konfigurálásáért.
Az előzetes verzió használatához állítsa be a enableServiceSideCMKEncryption REST API-t, vagy a Bicep- vagy Resource Manager-sablont. Az Azure Portalt is használhatja. Az előzetes verzió elérhetősége munkaterület típusa szerint változik:
| Erőforrás | Támogatott |
|---|---|
| Alapértelmezett | Igen |
| Hub | Nem |
| Project | Nem |
Feljegyzés
Ebben az előzetes verzióban a kulcsváltás és az adatcímkézési képességek nem támogatottak. A kiszolgálóoldali titkosítás jelenleg nem támogatott az Azure Key Vaultra hivatkozva a nyilvános hálózati hozzáféréssel rendelkező titkosítási kulcs tárolásához.
A metaadatok szolgáltatásoldali titkosításával rendelkező munkaterületet létrehozó sablonról lásd: https://github.com/azure/azure-quickstart-templates/tree/master/quickstarts/microsoft.machinelearningservices/machine-learning-workspace-cmk-service-side-encryption.
hbi_workspace jelző
A jelölőt csak munkaterület létrehozásakor állíthatja be hbi_workspace . Meglévő munkaterület esetében nem módosítható.
Ha ezt a jelzőt TRUEállítja be, az növelheti a problémák elhárításának nehézségét, mivel kevesebb telemetriai adat érkezik a Microsoftnak. A sikerességi arányok és a problématípusok kevésbé láthatók. Előfordulhat, hogy a Microsoft nem tud proaktív módon reagálni, amikor ez a jelző jelenik meg TRUE.
Ha engedélyezni szeretné a hbi_workspace jelzőt egy Azure Machine Learning-munkaterület létrehozásakor, kövesse az alábbi cikkek egyikének lépéseit:
- Munkaterület létrehozása és kezelése az Azure Portal vagy a Python SDK használatával
- Munkaterület létrehozása és kezelése az Azure CLI használatával
- Munkaterület létrehozása a HashiCorp Terraform használatával
- Munkaterület létrehozása Azure Resource Manager-sablonok használatával