Adatkezelés
Megtudhatja, hogyan kezelheti az adathozzáférést és a hitelesítést az Azure Machine Tanulás.
ÉRVÉNYES:
Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)
Fontos
Ez a cikk olyan Azure-rendszergazdáknak szól, akik szeretnék létrehozni az Azure Machine Tanulás megoldáshoz szükséges infrastruktúrát.
Hitelesítő adatok hitelesítése
A hitelesítő adatok hitelesítése általában az alábbi ellenőrzéseket foglalja magában:
A hitelesítőadat-alapú adattárból adatokat elérő felhasználóhoz szerepköralapú hozzáférés-vezérlés (RBAC) lett hozzárendelve, amely tartalmazza
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?- Ez az engedély szükséges ahhoz, hogy lekérje a hitelesítő adatokat a felhasználó adattárából.
- Az engedélyt tartalmazó beépített szerepkörök már közreműködői, Azure AI-fejlesztői vagy Azure Machine-Tanulás adattudós. Másik lehetőségként, ha egyéni szerepkört alkalmaz, meg kell győződnie arról, hogy ez az engedély hozzá van adva az egyéni szerepkörhöz.
- Tudnia kell, hogy melyik felhasználó próbál hozzáférni az adatokhoz. Lehet egy valós felhasználó, aki rendelkezik felhasználói identitással, vagy számítási felügyelt identitással (MSI) rendelkező számítógép. Tekintse meg a forgatókönyvek és a hitelesítési beállítások című szakaszt annak az identitásnak a azonosításához, amelyhez engedélyt kell adnia.
A tárolt hitelesítő adatok (szolgáltatásnév, fiókkulcs vagy közös hozzáférésű jogosultságkód jogkivonata) hozzáférnek az adaterőforráshoz?
Identitásalapú adathitelesítés
Az identitásalapú adathitelesítés általában az alábbi ellenőrzéseket foglalja magában:
- Melyik felhasználó szeretné elérni az erőforrásokat?
- Az adatok elérésének környezetétől függően különböző típusú hitelesítések érhetők el, például:
- Felhasználói azonosító
- Felügyelt identitás kiszámítása
- Munkaterület felügyelt identitása
- A feladatok , beleértve az adathalmaz-beállítást
Generate Profileis, az előfizetés egyik számítási erőforrásán futnak, és onnan érik el az adatokat. A számítási felügyelt identitásnak engedélyre van szüksége a tárolási erőforráshoz a feladatot beküldő felhasználó identitása helyett. - A felhasználói identitáson alapuló hitelesítéshez tudnia kell, hogy melyik felhasználó próbálta elérni a tárolási erőforrást. A felhasználói hitelesítésről további információt az Azure Machine Tanulás hitelesítése című témakörben talál. A szolgáltatásszintű hitelesítésről további információt az Azure Machine Tanulás és más szolgáltatások közötti hitelesítés című témakörben talál.
- Az adatok elérésének környezetétől függően különböző típusú hitelesítések érhetők el, például:
- Rendelkezik olvasási engedéllyel?
- Rendelkezik a felhasználói identitás vagy a számítási felügyelt identitás a szükséges engedélyekkel az adott tárolási erőforráshoz? Az engedélyeket az Azure RBAC használatával lehet megadni.
- A tárfiók olvasója felolvassa a tár metaadatait.
- A Storage Blob Data Reader beolvassa és listázza a tárolókat és a blobokat.
- További információ: Azure beépített tárolási szerepkörök.
- Rendelkezik a felhasználó írási engedélyével?
- Rendelkezik a felhasználói identitás vagy a számítási felügyelt identitás a szükséges engedélyekkel az adott tárolási erőforráshoz? Az engedélyeket az Azure RBAC használatával lehet megadni.
- A tárfiók olvasója felolvassa a tár metaadatait.
- A Storage Blob Data Közreműködője beolvassa, írja és törli az Azure Storage-tárolókat és blobokat.
- További információ: Azure beépített tárolási szerepkörök.
A hitelesítés egyéb általános ellenőrzései
- Honnan származik a hozzáférés?
- Felhasználó: Az ügyfél IP-címe a virtuális hálózat/alhálózat tartományában található?
- Munkaterület: Nyilvános a munkaterület, vagy rendelkezik privát végponttal egy virtuális hálózaton/alhálózaton?
- Tárolás: Engedélyezi a tárterület a nyilvános hozzáférést, vagy korlátozza a hozzáférést egy szolgáltatásvégponton vagy egy privát végponton keresztül?
- Milyen műveletet hajt végre?
- Az Azure Machine Tanulás kezeli a létrehozási, olvasási, frissítési és törlési (CRUD) műveleteket egy adattáron/adatkészleten.
- Az Azure Machine Tanulás Studióban lévő adategységek archiválási műveleteihez a következő RBAC-művelet szükséges:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete - Az adatelérési hívások (például előzetes verzió vagy séma) a mögöttes tárolóba kerülnek, és további engedélyekre van szükségük.
- Ez a művelet egy Microsoft-előfizetésben üzemeltetett Azure-előfizetés számítási erőforrásaiban vagy erőforrásaiban fog futni?
- Az adathalmazra és az adattárszolgáltatásokra irányuló összes hívás (kivéve a
Generate Profilelehetőséget) a Microsoft-előfizetésbenüzemeltetett erőforrásokat használja a műveletek futtatásához. - A feladatok, beleértve az adathalmaz-beállítást
Generate Profileis, az előfizetés egyik számítási erőforrásán futnak, és onnan érik el az adatokat. A számítási identitásnak engedélyre van szüksége a tárolási erőforráshoz a feladatot beküldő felhasználó identitása helyett.
- Az adathalmazra és az adattárszolgáltatásokra irányuló összes hívás (kivéve a
Ez az ábra egy adatelérési hívás általános folyamatát mutatja be. Itt egy felhasználó egy számítógép Tanulás munkaterületen keresztül próbál adatelérési hívást kezdeményezni számítási erőforrás használata nélkül.
Forgatókönyvek és hitelesítési beállítások
Ez a táblázat az adott forgatókönyvekhez használandó identitásokat sorolja fel.
| Konfiguráció | SDK helyi/notebook virtuális gép | Állás | Adathalmaz előzetes verziója | Adattár tallózása |
|---|---|---|---|---|
| Hitelesítő adatok + munkaterületi MSI | Hitelesítő adat | Hitelesítő adat | Munkaterület MSI-je | Hitelesítő adatok (csak fiókkulcs és közös hozzáférésű jogosultságkód jogkivonat) |
| Nincs hitelesítő adat + munkaterületi MSI | Számítási MSI/Felhasználói identitás | Számítási MSI/Felhasználói identitás | Munkaterület MSI-je | Felhasználói azonosító |
| Hitelesítő adatok + Nincs munkaterületi MSI | Hitelesítő adat | Hitelesítő adat | Hitelesítő adatok (magánhálózati adathalmaz előzetes verziójában nem támogatott) | Hitelesítő adatok (csak fiókkulcs és közös hozzáférésű jogosultságkód jogkivonat) |
| Nincs hitelesítő adat + nincs munkaterületi MSI | Számítási MSI/Felhasználói identitás | Számítási MSI/Felhasználói identitás | Felhasználói azonosító | Felhasználói azonosító |
Az SDK V1 esetében a feladatok adathitelesítése mindig számítási MSI-t használ. Az SDK V2 esetében egy feladat adathitelesítése a feladat beállításától függ. Ez lehet felhasználói identitás, vagy a beállítás alapján kiszámíthatja az MSI-t.
Tipp.
Ha a számítógépen kívüli Tanulás adatokhoz szeretne hozzáférni, például az Azure Storage Explorerrel, ez a hozzáférés valószínűleg a felhasználói identitásra támaszkodik. További információkért tekintse át a használt eszköz vagy szolgáltatás dokumentációját. A gépi Tanulás adatokkal való használatáról további információt az Azure Machine Tanulás és más szolgáltatások közötti hitelesítés beállítása című témakörben talál.
Virtuális hálózatra vonatkozó követelmények
Az alábbi információk segítenek beállítani az adathitelesítést, hogy hozzáférjenek egy virtuális hálózat mögötti adatokhoz egy gépi Tanulás munkaterületről.
Tárfiók engedélyeinek hozzáadása a számítógép Tanulás munkaterület felügyelt identitásához
Ha tárfiókot használ a studióból, ha meg szeretné tekinteni az Adathalmaz előnézetét, engedélyeznie kell a munkaterület felügyelt identitásának használatát az adatelőnézethez és a profilkészítéshez az Azure Machine Tanulás Studióban az adattárbeállításban. Ezután adja hozzá a tárfiók következő Azure RBAC-szerepkörét a munkaterület felügyelt identitásához:
- Blob-adatolvasó
- Ha a tárfiók privát végpontot használ a virtuális hálózathoz való csatlakozáshoz, a tárfiók privát végpontjának Olvasó szerepkörét meg kell adnia a felügyelt identitásnak.
További információ: Azure Machine Tanulás Studio használata Azure-beli virtuális hálózaton.
Az alábbi szakaszok ismertetik a tárfiók és a munkaterület virtuális hálózatban való használatának korlátait.
Biztonságos kommunikáció tárfiókkal
A gépi Tanulás és a tárfiókok közötti kommunikáció biztonságossá tételéhez konfigurálja a tárolót úgy, hogy hozzáférést biztosítson a megbízható Azure-szolgáltatásokhoz.
Azure Storage-tűzfal
Ha egy tárfiók egy virtuális hálózat mögött található, a tár tűzfal általában arra használható, hogy az ügyfél közvetlenül csatlakozzon az interneten keresztül. A stúdió használatakor azonban az ügyfél nem csatlakozik a tárfiókhoz. A kérést küldő Machine Tanulás szolgáltatás csatlakozik a tárfiókhoz. A szolgáltatás IP-címe nincs dokumentálva, és gyakran változik. A tár tűzfal engedélyezése nem teszi lehetővé a stúdió számára, hogy virtuális hálózati konfigurációban férhessen hozzá a tárfiókhoz.
Azure Storage-végpont típusa
Ha a munkaterület privát végpontot használ, és a tárfiók is a virtuális hálózaton található, további érvényesítési követelmények merülnek fel a stúdió használatakor:
- Ha a tárfiók szolgáltatásvégpontot használ, a munkaterület privát végpontjának és a tárolási szolgáltatásvégpontnak a virtuális hálózat ugyanazon alhálózatán kell lennie.
- Ha a tárfiók privát végpontot használ, a munkaterület privát végpontjának és a privát tárolóvégpontnak ugyanabban a virtuális hálózaton kell lennie. Ebben az esetben lehetnek más alhálózatban is.
1. generációs Azure Data Lake Storage
Amikor az Azure Data Lake Storage Gen1-et használja adattárként, csak POSIX-stílusú hozzáférés-vezérlési listákat használhat. A munkaterület felügyelt identitáshoz való hozzáférését hozzárendelheti az erőforrásokhoz, mint bármely más biztonsági tag. További információ: Hozzáférés-vezérlés az Azure Data Lake Storage Gen1-ben.
Azure Data Lake Storage Gen2
Amikor az Azure Data Lake Storage Gen2-t használja adattárként, az Azure RBAC- és POSIX-stílusú hozzáférés-vezérlési listákat (ACL-eket) is használhatja a virtuális hálózaton belüli adathozzáférés szabályozásához.
- Az Azure RBAC használatához kövesse a Datastore: Azure Storage-fiókban leírt lépéseket. A Data Lake Storage Gen2 az Azure Storage-on alapul, ezért ugyanezek a lépések érvényesek az Azure RBAC használatakor.
- ACL-ek használata: A munkaterület felügyelt identitása a többi biztonsági taghoz hasonlóan hozzárendelhető hozzáféréshez. További információ: Hozzáférés-vezérlési listák fájlokon és könyvtárakon.
Következő lépések
A stúdió hálózati engedélyezéséről további információt az Azure Machine Tanulás studio használata Azure-beli virtuális hálózaton című témakörben talál.