Ügyfél által felügyelt kulcsok használata az Azure Machine Tanulás
Az ügyfél által felügyelt kulcsokkal kapcsolatos fogalmakról szóló cikkben megismerhette az Azure Machine Tanulás által biztosított titkosítási képességeket. Most megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat az Azure Machine Tanulás.
Az Azure Machine Tanulás az ügyfél által felügyelt kulcsokat használó alábbi szolgáltatásokra támaszkodik:
| Service | Alkalmazási cél |
|---|---|
| Azure Cosmos DB | Az Azure Machine Tanulás metaadatait tárolja |
| Azure AI Search | Az Azure Machine Tanulás munkaterületi metaadatait tárolja |
| Azure Storage | Az Azure Machine Tanulás munkaterületi metaadatait tárolja |
| Azure Kubernetes Service | A betanított modelleket következtetési végpontként üzemelteti |
Ugyanezzel a kulccsal biztosíthatja az Azure Cosmos DB, az Azure AI Search és az Azure Storage védelmét. Az Azure Kubernetes Service-hez másik kulcsot is használhat.
Ha ügyfél által felügyelt kulcsot használ az Azure Cosmos DB,az Azure AI Search és az Azure Storage használatával, a kulcs a munkaterület létrehozásakor lesz megadva. Az Azure Kubernetes Service-ben használt kulcs az erőforrás konfigurálásakor lesz megadva.
| Service | Alkalmazási cél |
|---|---|
| Azure Cosmos DB | Az Azure Machine Tanulás metaadatait tárolja |
| Azure AI Search | Az Azure Machine Tanulás munkaterületi metaadatait tárolja |
| Azure Storage | Az Azure Machine Tanulás munkaterületi metaadatait tárolja |
| Azure Kubernetes Service | A betanított modelleket következtetési végpontként üzemelteti |
| Azure Container Instances | A betanított modelleket következtetési végpontként üzemelteti |
Ugyanezzel a kulccsal biztosíthatja az Azure Cosmos DB, az Azure AI Search és az Azure Storage védelmét. Használhat egy másik kulcsot az Azure Kubernetes Service-hez és az Azure Container Instanceshez.
Ha ügyfél által felügyelt kulcsot használ az Azure Cosmos DB,az Azure AI Search és az Azure Storage használatával, a kulcs a munkaterület létrehozásakor lesz megadva. Az Azure Container Instances és az Azure Kubernetes Service használatával használt kulcsok az erőforrások konfigurálásakor lesznek megadva.
Előfeltételek
Azure-előfizetés.
A következő Azure-erőforrás-szolgáltatókat kell regisztrálni:
Erőforrás-szolgáltató Miért van rá szükség? Microsoft.MachineLearningServices Az Azure Machine Tanulás-munkaterület létrehozása. Microsoft.Storage A rendszer a tárfiókot használja a munkaterület alapértelmezett tárolójaként. Microsoft.KeyVault Az Azure Key Vaultot a munkaterület titkos kulcsok tárolására használja. Microsoft.DocumentDB/databaseAccounts Azure Cosmos DB-példány, amely naplózza a munkaterület metaadatait. Microsoft.Search/searchServices Az Azure Search indexelési képességeket biztosít a munkaterülethez. Az erőforrás-szolgáltatók regisztrálásáról további információt az erőforrás-szolgáltató regisztrációjának hibáinak megoldása című témakörben talál.
Korlátozások
- A munkaterület létrehozása után a munkaterülettől függő erőforrások ügyfél által felügyelt titkosítási kulcsa csak az eredeti Azure Key Vault-erőforrás egy másik kulcsára frissíthető.
- A Microsoft által az előfizetésben kezelt erőforrások nem ruházhatják át a tulajdonjogot Önnek.
- Nem törölheti a Microsoft által kezelt, az ügyfél által kezelt kulcsokhoz használt erőforrásokat anélkül, hogy magát a munkaterületet is törölné.
- Az ügyfél által felügyelt kulcsot tartalmazó kulcstartónak ugyanabban az Azure-előfizetésben kell lennie, mint az Azure Machine Tanulás-munkaterület.
- A machine learning compute operációsrendszer-lemeze nem titkosítható ügyfél által felügyelt kulccsal, de a Microsoft által felügyelt kulccsal titkosítható, ha a munkaterület a következő paraméterrel
TRUEvan létrehozvahbi_workspace. További részletekért lásd : Adattitkosítás.
Fontos
Ügyfél által felügyelt kulcs használata esetén az előfizetés költségei magasabbak lesznek az előfizetés további erőforrásai miatt. A költségek becsléséhez használja az Azure díjkalkulátorát.
Azure Key Vault létrehozása
A kulcstartó létrehozásához lásd : Kulcstartó létrehozása. Az Azure Key Vault létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet.
Fontos
A kulcstartónak ugyanabban az Azure-előfizetésben kell lennie, amely az Azure Machine Tanulás-munkaterületet fogja tartalmazni.
Kulcs létrehozása
Tipp.
Ha problémákat tapasztal a kulcs létrehozásakor, az azure-beli szerepköralapú hozzáférés-vezérlők okozhatják, amelyeket az előfizetésben alkalmaztak. Győződjön meg arról, hogy a kulcs létrehozásához használt biztonsági tag (felhasználó, felügyelt identitás, szolgáltatásnév stb.) hozzá lett rendelve a Key Vault-példány közreműködői szerepköréhez. Emellett olyan hozzáférési szabályzatot is konfigurálnia kell a Key Vaultban, amely engedélyezi a biztonsági egyszerű hitelesítést, a lekérést, a törlést és a törlést.
Ha felhasználó által hozzárendelt felügyelt identitást szeretne használni a munkaterülethez, a felügyelt identitást is hozzá kell rendelni ezekhez a szerepkörökhöz és hozzáférési szabályzatokhoz.
További információért tekintse át az alábbi cikkeket:
Az Azure Portalon válassza ki a Key Vault-példányt. Ezután balról válassza a Kulcsok lehetőséget .
Válassza a + Létrehozás/importálás lehetőséget a lap tetején. Kulcs létrehozásához használja a következő értékeket:
- Állítsa be a létrehozási beállításokat.
- Adja meg a kulcs nevét. A névnek olyannak kell lennie, amely azonosítja a tervezett használatot. Például:
my-cosmos-key. - Kulcstípus beállítása RSA értékre.
- Javasoljuk, hogy legalább 3072-et válasszon az RSA-kulcsmérethez.
- Hagyja engedélyezve az igen értéket.
Megadhat aktiválási dátumot, lejárati dátumot és címkéket is.
A kulcs létrehozásához válassza a Létrehozás lehetőséget.
Az Azure Cosmos DB hozzáférésének engedélyezése a kulcshoz
- A kulcstartó konfigurálásához válassza ki az Azure Portalon , majd a bal oldali menüben válassza az Access-szabályzatok lehetőséget.
- Az Azure Cosmos DB engedélyeinek létrehozásához válassza a + Létrehozás lehetőséget a lap tetején. A Kulcsengedélyek csoportban válassza a Lekérés, a Kulcs feloldása és a Tördelés gomb engedélyeit.
- Az Egyszerű csoportban keresse meg az Azure Cosmos DB-t, majd válassza ki. Ennek a bejegyzésnek a fő azonosítója az
a232010e-820c-4083-83bb-3ace5fc29d0bAzure Governmenten kívüli összes régióhoz tartozik. Az Azure Government esetében a fő azonosító az57506a73-e302-42a9-b869-6f12d9ec29e9. - Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.
Ügyfél által felügyelt kulcsot használó munkaterület létrehozása
Azure Machine Tanulás-munkaterület létrehozása. A munkaterület létrehozásakor ki kell választania az Azure Key Vaultot és a kulcsot. A munkaterület létrehozásának módjától függően ezeket az erőforrásokat különböző módokon adhatja meg:
Figyelmeztetés
Az ügyfél által felügyelt kulcsot tartalmazó kulcstartónak ugyanabban az Azure-előfizetésben kell lennie, mint a munkaterület.
Azure Portal: Válassza ki a kulcstartót és a kulcsot egy legördülő beviteli mezőből a munkaterület konfigurálásakor.
SDK-, REST API- és Azure Resource Manager-sablonok: Adja meg a kulcstartó Azure Resource Manager-azonosítóját és a kulcs URL-címét. Az értékek lekéréséhez használja az Azure CLI-t és a következő parancsokat:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kidA kulcstartó azonosítójának értéke hasonló lesz a következőhöz
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv: . A kulcs URL-címe hasonló lesz a következőhözhttps://mykv.vault.azure.net/keys/mykey/{GUID}: .
A munkaterület ügyfél által felügyelt kulccsal történő létrehozásáról az alábbi cikkekben talál példákat:
| Létrehozási metódus | Cikk |
|---|---|
| parancssori felület | Munkaterület létrehozása az Azure CLI-vel |
| Azure Portal/ Python SDK |
Munkaterület létrehozása és kezelése |
| Azure Resource Manager-sablon |
Munkaterület létrehozása sablonnal |
| REST API | Azure Machine-Tanulás-erőforrások létrehozása, futtatása és törlése REST használatával |
A munkaterület létrehozása után láthatja, hogy az Azure-erőforráscsoport létrejön az előfizetésében. Ez a csoport a munkaterület erőforráscsoportja mellett található. Ez az erőforráscsoport tartalmazza azokat a Microsoft által felügyelt erőforrásokat, amelyekkel a kulcs használható. Az erőforráscsoport neve a következő képlet használatával <Azure Machine Learning workspace resource group name><GUID>lesz elnevezve: . Tartalmazni fog egy Azure Cosmos DB-példányt, egy Azure Storage-fiókot és egy Azure AI Search-példányt.
Tipp.
- Az Azure Cosmos DB-példány kérelemegységei szükség szerint automatikusan skálázhatók.
- Ha az Azure Machine Tanulás-munkaterület privát végpontot használ, ez az erőforráscsoport egy Microsoft által felügyelt Azure-beli virtuális hálózatot is tartalmaz. Ez a virtuális hálózat a felügyelt szolgáltatások és a munkaterület közötti kommunikáció védelmére szolgál. A Microsoft által felügyelt erőforrásokhoz nem adhat meg saját virtuális hálózatot. A virtuális hálózatot sem módosíthatja. Például nem módosíthatja a használt IP-címtartományt.
Fontos
Ha az előfizetése nem rendelkezik elegendő kvótával ezekhez a szolgáltatásokhoz, hiba történik.
Figyelmeztetés
Ne törölje az Azure Cosmos DB-példányt tartalmazó erőforráscsoportot , sem a csoportban automatikusan létrehozott erőforrásokat. Ha törölnie kell az erőforráscsoportot vagy a Microsoft által felügyelt szolgáltatásokat, törölnie kell az azt használó Azure Machine-Tanulás munkaterületet. Az erőforráscsoport erőforrásai a társított munkaterület törlésekor törlődnek.
Az Azure Cosmos DB-vel felügyelt ügyfél által kezelt kulcsokról további információt az Azure Cosmos DB-fiók ügyfél által felügyelt kulcsainak konfigurálása című témakörben talál.
Azure Container Instance
Fontos
Az Azure Container Instancesben való üzembe helyezés nem érhető el az SDK-ban vagy a CLI 2-ben. Csak az SDK > CLI 1-ben.
Betanított modell Azure Container Instance (ACI) üzembe helyezésekor az üzembe helyezett erőforrást ügyfél által felügyelt kulccsal titkosíthatja. A kulcsok létrehozásával kapcsolatos információkért lásd : Adatok titkosítása ügyfél által felügyelt kulccsal.
Ha a kulcsot a modell Azure Container Instance-ben való üzembe helyezésekor szeretné használni, hozzon létre egy új üzembe helyezési konfigurációt a következővel AciWebservice.deploy_configuration(): . Adja meg a legfontosabb információkat a következő paraméterekkel:
cmk_vault_base_url: A kulcsot tartalmazó kulcstartó URL-címe.cmk_key_name: A kulcs neve.cmk_key_version: A kulcs verziója.
Az üzembehelyezési konfiguráció létrehozásával és használatával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Modell üzembe helyezése az Azure Container Instancesben (SDK/CLI v1)
Az ügyfél által felügyelt kulcsok ACI-vel való használatáról további információt az üzembehelyezési adatok titkosítása című témakörben talál.
Azure Kubernetes Service
Az üzembe helyezett Azure Kubernetes Service-erőforrást bármikor titkosíthatja ügyfél által felügyelt kulcsokkal. További információ: Saját kulcsok használata az Azure Kubernetes Service-ben.
Ez a folyamat lehetővé teszi a Kubernetes-fürtben üzembe helyezett virtuális gépek adatainak és operációsrendszer-lemezének titkosítását.
Fontos
Ez a folyamat csak az AKS K8s 1.17-es vagy újabb verziójával működik.