Bagikan melalui


Kunci yang dikelola pelanggan untuk Azure Machine Learning

Azure Machine Learning dibuat di atas beberapa layanan Azure. Meskipun data yang disimpan dienkripsi melalui kunci enkripsi yang disediakan Microsoft, Anda dapat meningkatkan keamanan dengan juga menyediakan kunci Anda sendiri (dikelola pelanggan). Kunci yang Anda sediakan disimpan di Azure Key Vault. Data Anda dapat disimpan di sekumpulan sumber daya lain yang Anda kelola di sisi server langganan Azure, atau (pratinjau) di sumber daya terkelola Microsoft.

Selain kunci yang dikelola pelanggan (CMK), Azure Pembelajaran Mesin menyediakan bendera hbi_workspace. Mengaktifkan bendera ini mengurangi jumlah data yang dikumpulkan Microsoft untuk tujuan diagnostik dan memungkinkan enkripsi tambahan di lingkungan yang dikelola Microsoft. Bendera ini juga memungkinkan perilaku berikut:

  • Mulai mengenkripsi disk awal lokal di kluster komputasi Azure Pembelajaran Mesin Anda, jika Anda tidak membuat kluster sebelumnya dalam langganan tersebut. Jika tidak, Anda perlu menaikkan tiket dukungan untuk mengaktifkan enkripsi disk awal untuk kluster komputasi Anda.
  • Mengosongkan disk awal lokal Anda di antara pekerjaan.
  • Meneruskan kredensial dengan aman untuk akun penyimpanan, registri kontainer, dan akun Secure Shell (SSH) Anda dari lapisan eksekusi ke kluster komputasi Anda dengan menggunakan brankas kunci Anda.

Bendera hbi_workspace tidak memengaruhi enkripsi saat transit. Ini hanya mempengaruhi enkripsi saat tidak aktif.

Prasyarat

  • Langganan Azure.
  • Instans Azure Key Vault. Brankas kunci berisi kunci untuk mengenkripsi layanan Anda.

Brankas kunci harus mengaktifkan penghapusan sementara dan perlindungan penghapusan menyeluruh. Identitas terkelola untuk layanan yang Anda bantu amankan dengan menggunakan kunci yang dikelola pelanggan harus memiliki izin berikut ke brankas kunci:

  • Bungkus Kunci
  • Kunci Unwrap
  • Dapatkan

Misalnya, identitas terkelola untuk Azure Cosmos DB harus memiliki izin tersebut ke brankas kunci.

Batasan

  • Setelah pembuatan ruang kerja, kunci enkripsi yang dikelola pelanggan untuk sumber daya yang bergantung pada ruang kerja hanya dapat diperbarui ke kunci lain di sumber daya Azure Key Vault asli.
  • Kecuali Anda menggunakan pratinjau sisi server, data terenkripsi disimpan pada sumber daya dalam grup sumber daya yang dikelola Microsoft di langganan Anda. Anda tidak dapat membuat sumber daya ini di muka atau mentransfer kepemilikannya kepada Anda. Siklus hidup data dikelola secara tidak langsung melalui AZURE Pembelajaran Mesin API saat Anda membuat objek di layanan Azure Pembelajaran Mesin.
  • Anda tidak dapat menghapus sumber daya yang dikelola Microsoft yang Anda gunakan untuk kunci yang dikelola pelanggan tanpa juga menghapus ruang kerja Anda.
  • Anda tidak dapat mengenkripsi disk OS kluster komputasi dengan menggunakan kunci yang dikelola pelanggan Anda. Anda harus menggunakan kunci yang dikelola Microsoft.

Peringatan

Jangan hapus grup sumber daya yang berisi instans Azure Cosmos DB, atau sumber daya apa pun yang dibuat secara otomatis dalam grup ini. Jika Anda perlu menghapus grup sumber daya atau layanan yang dikelola Microsoft di dalamnya, Anda harus menghapus ruang kerja Azure Machine Learning yang menggunakannya. Sumber daya grup sumber daya dihapus saat Anda menghapus ruang kerja terkait.

Kunci yang dikelola pelanggan

Saat Anda tidak menggunakan kunci yang dikelola pelanggan, Microsoft membuat dan mengelola sumber daya dalam langganan Azure milik Microsoft dan menggunakan kunci yang dikelola Microsoft untuk mengenkripsi data.

Saat Anda menggunakan kunci yang dikelola pelanggan, sumber daya berada di langganan Azure Anda dan dienkripsi dengan kunci Anda. Meskipun sumber daya ini ada di langganan Anda, Microsoft mengelolanya. Sumber daya ini secara otomatis dibuat dan dikonfigurasi saat Anda membuat ruang kerja Azure Pembelajaran Mesin Anda.

Sumber daya yang dikelola Microsoft ini terletak di grup sumber daya Azure baru yang dibuat di langganan Anda. Grup sumber daya ini terpisah dari grup sumber daya untuk ruang kerja Anda. Ini berisi sumber daya yang dikelola Microsoft yang digunakan kunci Anda. Rumus untuk penamaan grup sumber daya adalah: <Azure Machine Learning workspace resource group name><GUID>.

Tip

Unit Permintaan untuk Azure Cosmos DB secara otomatis diskalakan sesuai kebutuhan.

Jika ruang kerja Azure Pembelajaran Mesin Anda menggunakan titik akhir privat, grup sumber daya ini juga berisi jaringan virtual Azure yang dikelola Microsoft. Jaringan virtual ini membantu mengamankan komunikasi antara layanan terkelola dan ruang kerja. Anda tidak dapat menyediakan jaringan virtual Anda sendiri untuk digunakan dengan sumber daya yang dikelola Microsoft. Anda juga tidak dapat mengubah jaringan virtual. Misalnya, Anda tidak dapat mengubah rentang alamat IP yang digunakannya.

Penting

Jika langganan Anda tidak memiliki kuota yang cukup untuk layanan ini, kegagalan akan terjadi.

Saat Anda menggunakan kunci yang dikelola pelanggan, biaya untuk langganan Anda lebih tinggi karena sumber daya ini ada di langganan Anda. Untuk memperkirakan biaya, gunakan Kalkulator harga Azure.

Enkripsi data pada sumber daya komputasi

Azure Machine Learning menggunakan sumber daya komputasi untuk melatih dan menyebarkan model pembelajaran mesin. Tabel berikut ini menjelaskan opsi komputasi dan cara masing-masing mengenkripsi data:

Compute Enkripsi
Azure Container Instances Data dienkripsi dengan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan.
Untuk informasi selengkapnya, lihat Mengenkripsi data penyebaran.
Azure Kubernetes Service Data dienkripsi dengan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan.
Untuk informasi selengkapnya, lihat Membawa kunci Anda sendiri dengan disk Azure di Azure Kubernetes Service.
Instans komputasi Azure Machine Learning Disk awal lokal dienkripsi jika Anda mengaktifkan hbi_workspace bendera untuk ruang kerja.
Kluster komputasi Azure Machine Learning Disk OS dienkripsi di Azure Storage dengan kunci yang dikelola Microsoft. Disk sementara dienkripsi jika Anda mengaktifkan hbi_workspace bendera untuk ruang kerja.
Compute Enkripsi
Azure Kubernetes Service Data dienkripsi dengan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan.
Untuk informasi selengkapnya, lihat Membawa kunci Anda sendiri dengan disk Azure di Azure Kubernetes Service.
Instans komputasi Azure Machine Learning Disk awal lokal dienkripsi jika Anda mengaktifkan hbi_workspace bendera untuk ruang kerja.
Kluster komputasi Azure Machine Learning Disk OS dienkripsi di Azure Storage dengan kunci yang dikelola Microsoft. Disk sementara dienkripsi jika Anda mengaktifkan hbi_workspace bendera untuk ruang kerja.

Kluster komputasi

Kluster komputasi memiliki penyimpanan disk OS lokal dan dapat memasang data dari akun penyimpanan di langganan Anda selama pekerjaan. Saat memasang data dari akun penyimpanan Anda sendiri dalam pekerjaan, Anda dapat mengaktifkan kunci yang dikelola pelanggan pada akun penyimpanan tersebut untuk enkripsi.

Disk OS untuk setiap simpul komputasi disimpan di Azure Storage, dan selalu dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Azure Pembelajaran Mesin, dan bukan dengan kunci yang dikelola pelanggan. Target komputasi ini bersifat sementara, sehingga data yang disimpan pada disk OS dihapus setelah kluster diturunkan. Kluster biasanya menurunkan skala ketika tidak ada pekerjaan yang diantrekan, autoscaling aktif, dan jumlah node minimum diatur ke nol. Komputer virtual yang mendasar dideprovisi, dan disk OS dihapus.

Azure Disk Encryption tidak didukung untuk disk OS. Setiap komputer virtual juga memiliki disk sementara lokal untuk operasi OS. Jika mau, Anda dapat menggunakan disk untuk menggelar data pelatihan. Jika Anda membuat ruang kerja dengan parameter yang hbi_workspace diatur ke TRUE, disk sementara dienkripsi. Lingkungan ini berumur pendek (hanya selama pekerjaan Anda), dan dukungan enkripsi hanya terbatas pada kunci yang dikelola sistem.

Hitung intance

Disk OS untuk instans komputasi dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Azure Pembelajaran Mesin. Jika Anda membuat ruang kerja dengan parameter yang hbi_workspace diatur ke TRUE, disk sementara lokal pada instans komputasi dienkripsi dengan kunci yang dikelola Microsoft. Enkripsi kunci yang dikelola pelanggan tidak didukung untuk OS dan disk sementara.

Penyimpanan metadata ruang kerja terenkripsi

Saat Anda membawa kunci enkripsi Anda sendiri, metadata layanan disimpan pada sumber daya khusus di langganan Azure Anda. Microsoft membuat grup sumber daya terpisah dalam langganan Anda untuk tujuan ini: azureml-rg-workspacename_GUID. Hanya Microsoft yang dapat mengubah sumber daya dalam grup sumber daya terkelola ini.

Microsoft membuat sumber daya berikut untuk menyimpan metadata untuk ruang kerja Anda:

Layanan Penggunaan Contoh data
Azure Cosmos DB Menyimpan data riwayat pekerjaan, metadata komputasi, dan metadata aset. Data dapat mencakup nama pekerjaan, status, nomor urut, dan status; menghitung nama kluster, jumlah inti, dan jumlah simpul; nama dan tag datastore, dan deskripsi pada aset seperti model; dan nama label data.
Pencarian Azure AI Menyimpan indeks yang membantu mengkueri konten pembelajaran mesin Anda. Indeks ini dibangun di atas data yang disimpan di Azure Cosmos DB.
Azure Storage Menyimpan metadata yang terkait dengan data alur Azure Pembelajaran Mesin. Data dapat mencakup nama alur perancang, tata letak alur, dan properti eksekusi.

Dari perspektif manajemen siklus hidup data, data dalam sumber daya sebelumnya dibuat dan dihapus saat Anda membuat dan menghapus objek terkait di Azure Pembelajaran Mesin.

Ruang kerja Azure Pembelajaran Mesin Anda membaca dan menulis data dengan menggunakan identitas terkelolanya. Identitas ini diberikan akses ke sumber daya melalui penetapan peran (kontrol akses berbasis peran Azure) pada sumber daya data. Kunci enkripsi yang Anda berikan digunakan untuk mengenkripsi data yang disimpan di sumber daya yang dikelola Microsoft. Pada runtime, kunci juga digunakan untuk membuat indeks untuk Azure AI Search.

Kontrol jaringan tambahan dikonfigurasi saat Anda membuat titik akhir tautan privat di ruang kerja Anda untuk memungkinkan konektivitas masuk. Konfigurasi ini mencakup pembuatan koneksi titik akhir tautan privat ke instans Azure Cosmos DB. Akses jaringan dibatasi hanya untuk layanan Microsoft tepercaya.

(Pratinjau) Enkripsi sisi layanan metadata

Arsitektur baru untuk ruang kerja enkripsi kunci yang dikelola pelanggan tersedia dalam pratinjau, mengurangi biaya dibandingkan dengan arsitektur saat ini dan mengurangi kemungkinan konflik kebijakan Azure. Dalam model baru ini, data terenkripsi disimpan di sisi layanan pada sumber daya yang dikelola Microsoft, bukan di langganan Anda.

Data yang sebelumnya disimpan di Azure Cosmos DB dalam langganan Anda, disimpan di sumber daya multipenyewa yang dikelola Microsoft dengan enkripsi tingkat dokumen menggunakan kunci enkripsi Anda. Indeks pencarian yang sebelumnya disimpan di Azure AI Search di langganan Anda, disimpan di sumber daya yang dikelola Microsoft yang disediakan khusus untuk Anda per ruang kerja. Biaya instans pencarian Azure AI dibebankan di bawah ruang kerja Azure Pembelajaran Mesin Anda di Microsoft Cost Management.

Metadata alur yang sebelumnya disimpan di akun penyimpanan di grup sumber daya terkelola, sekarang disimpan di akun penyimpanan di langganan Anda yang terkait dengan ruang kerja Azure Pembelajaran Mesin. Karena sumber daya Azure Storage ini dikelola secara terpisah dalam langganan Anda, Anda bertanggung jawab untuk mengonfigurasi pengaturan enkripsi di dalamnya.

Untuk ikut serta dalam pratinjau ini, atur enableServiceSideCMKEncryption pada REST API atau di templat Bicep atau Resource Manager Anda. Anda juga dapat menggunakan portal Azure.

Cuplikan layar tab enkripsi dengan opsi untuk enkripsi sisi server dipilih.

Catatan

Selama rotasi kunci pratinjau dan kemampuan pelabelan data ini tidak didukung. Enkripsi sisi server saat ini tidak didukung dalam referensi ke Azure Key Vault untuk menyimpan kunci enkripsi Anda yang menonaktifkan akses jaringan publik.

Untuk templat yang membuat ruang kerja dengan enkripsi metadata sisi layanan, lihat

bendera hbi_workspace

Anda hanya dapat mengatur hbi_workspace bendera saat membuat ruang kerja. Anda tidak dapat mengubahnya untuk ruang kerja yang sudah ada.

Ketika Anda mengatur bendera ini ke TRUE, bendera ini dapat meningkatkan kesulitan pemecahan masalah karena lebih sedikit data telemetri yang dikirim ke Microsoft. Ada lebih sedikit visibilitas ke tingkat keberhasilan atau jenis masalah. Microsoft mungkin tidak dapat bereaksi secara proaktif ketika bendera ini adalah TRUE.

Untuk mengaktifkan hbi_workspace bendera saat Anda membuat ruang kerja Azure Pembelajaran Mesin, ikuti langkah-langkah di salah satu artikel berikut ini:

Langkah berikutnya