Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Pembelajaran Mesin bergantung pada berbagai layanan penyimpanan data Azure dan sumber daya komputasi saat Anda melatih model dan melakukan inferensi. Dalam artikel ini, pelajari tentang enkripsi data untuk setiap layanan baik saat tidak aktif maupun saat transit.
Untuk enkripsi tingkat produksi selama pelatihan, kami sarankan Anda menggunakan kluster komputasi Azure Pembelajaran Mesin. Untuk enkripsi tingkat produksi selama inferensi, kami sarankan Anda menggunakan Azure Kubernetes Service (AKS).
Instans komputasi di Azure Machine Learning adalah lingkungan pengembangan/pengujian. Saat Anda menggunakannya, kami sarankan Anda menyimpan file Anda, seperti buku catatan dan skrip, dalam berbagi file. Simpan data Anda di datastore.
Enkripsi saat tidak aktif
Proyek end-to-end Azure Pembelajaran Mesin terintegrasi dengan layanan seperti Azure Blob Storage, Azure Cosmos DB, dan Azure SQL Database. Artikel ini menjelaskan metode enkripsi untuk layanan tersebut.
Azure Blob Storage
Azure Pembelajaran Mesin menyimpan rekam jepret, output, dan log di akun Azure Blob Storage (akun penyimpanan default) yang terkait dengan ruang kerja Azure Pembelajaran Mesin dan langganan Anda. Semua data yang disimpan di Azure Blob Storage dienkripsi saat tidak aktif dengan kunci yang dikelola Microsoft.
Untuk informasi tentang cara menggunakan kunci Anda sendiri untuk data yang disimpan di Azure Blob Storage, lihat Enkripsi Azure Storage dengan kunci yang dikelola pelanggan di Azure Key Vault.
Data pelatihan biasanya juga disimpan di Azure Blob Storage sehingga target komputasi pelatihan dapat mengaksesnya. Azure Pembelajaran Mesin tidak mengelola penyimpanan ini. Penyimpanan ini dipasang ke target komputasi sebagai sistem file jarak jauh.
Jika Anda perlu memutar atau mencabut kunci, Anda dapat melakukannya kapan saja. Saat Anda mengganti kunci, akun penyimpanan mulai menggunakan kunci baru (versi terbaru) untuk mengenkripsi data yang disimpan. Saat Anda mencabut (menonaktifkan) kunci, akun penyimpanan menangani permintaan yang gagal. Biasanya dibutuhkan satu jam agar rotasi atau pencabutan efektif.
Untuk informasi tentang meregenerasi kunci akses, lihat Meregenerasi kunci akses akun penyimpanan.
Azure Data Lake Storage
Catatan
Azure Data Lake Storage Gen1 dihentikan pada 29 Februari 2024. Jika Anda menggunakan Azure Data Lake Storage Gen1, migrasikan ke Azure Data Lake Storage Gen2. Untuk mempelajari caranya, lihat Memigrasikan Azure Data Lake Storage dari Gen1 ke Gen2 dengan menggunakan portal Azure.
Anda tidak dapat membuat akun Azure Data Lake Storage Gen1 baru.
Azure Data Lake Storage Gen2 dibangun di atas Azure Blob Storage dan dirancang untuk analitik big data di perusahaan. Data Lake Storage Gen2 digunakan sebagai datastore untuk Azure Pembelajaran Mesin. Seperti Azure Blob Storage, data tidak aktif dienkripsi dengan kunci yang dikelola Microsoft.
Untuk informasi tentang cara menggunakan kunci Anda sendiri untuk data yang disimpan di Azure Data Lake Storage, lihat Enkripsi Azure Storage dengan kunci yang dikelola pelanggan di Azure Key Vault.
Database hubungan Azure
Layanan Azure Pembelajaran Mesin mendukung data dari sumber data berikut.
Azure SQL Database
Enkripsi data transparan membantu melindungi Azure SQL Database dari ancaman aktivitas offline berbahaya dengan mengenkripsi data tidak aktif. Secara default, enkripsi data transparan diaktifkan untuk semua database SQL yang baru disebarkan yang menggunakan kunci yang dikelola Microsoft.
Untuk informasi tentang cara menggunakan kunci yang dikelola pelanggan untuk enkripsi data transparan, lihat Enkripsi data transparan Azure SQL Database.
Azure Database for PostgreSQL
Secara default, Azure Database for PostgreSQL menggunakan enkripsi Azure Storage untuk mengenkripsi data tidak aktif dengan menggunakan kunci yang dikelola Microsoft. Ini mirip dengan enkripsi data transparan di database lain, seperti SQL Server.
Penting
Server Tunggal Azure Database for PostgreSQL dihentikan pada 28 Maret 2025. Jika Anda menggunakan Server Tunggal, migrasikan ke Server Fleksibel Azure Database for PostgreSQL. Untuk informasi selengkapnya, lihat Apa itu layanan migrasi di Azure Database for PostgreSQL?.
Untuk informasi tentang cara menggunakan kunci yang dikelola pelanggan untuk enkripsi data, lihat Enkripsi data Azure Database for PostgreSQL Flexible Server dengan kunci yang dikelola pelanggan.
Azure Database for MySQL
Azure Database for MySQL adalah layanan database relasional di Microsoft Cloud. Ini didasarkan pada mesin database MySQL Community Edition. Layanan Azure Database for MySQL menggunakan modul kriptografi tervalidasi FIPS 140-2 untuk enkripsi data Azure Storage saat tidak aktif.
Penting
Server Tunggal Azure Database for MySQL dihentikan penggunaannya pada 16 September 2024. Jika Anda menggunakan Server Tunggal, migrasikan ke Server Fleksibel Azure Database for MySQL. Untuk informasi selengkapnya, lihat Apa itu Azure Database for MySQL - Server Fleksibel?.
Untuk mengenkripsi data dengan menggunakan kunci yang dikelola pelanggan, lihat Enkripsi data Azure Database for MySQL Flexible Server dengan kunci yang dikelola pelanggan.
Azure Cosmos DB
Pembelajaran Mesin Microsoft Azure menyimpan metadata dalam instans Azure Cosmos DB. Instans ini dikaitkan dengan langganan Microsoft yang dikelola Azure Machine Learning. Semua data yang disimpan di Azure Cosmos DB dienkripsi saat tidak digunakan dengan kunci yang dikelola Microsoft.
Saat Anda menggunakan kunci Anda sendiri (dikelola pelanggan) untuk mengenkripsi instans Azure Cosmos DB, instans Azure Cosmos DB yang dikelola Microsoft dibuat dalam langganan Anda. Instans ini dibuat dalam grup sumber daya yang dikelola Microsoft, yang berbeda dari grup sumber daya untuk ruang kerja Anda. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk Azure Pembelajaran Mesin.
Azure Container Registry
Semua gambar kontainer di registri kontainer Anda (instans Azure Container Registry) dienkripsi saat tidak aktif. Azure secara otomatis mengenkripsi gambar sebelum menyimpannya dan mendekripsinya saat Pembelajaran Mesin Microsoft Azure menarik gambar.
Untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi registri kontainer, Anda perlu membuat dan melampirkan registri kontainer saat menyediakan ruang kerja. Anda dapat mengenkripsi instans default yang dibuat pada saat provisi ruang kerja.
Penting
Azure Pembelajaran Mesin mengharuskan Anda mengaktifkan akun admin di registri kontainer Anda. Secara default, pengaturan ini dinonaktifkan saat Anda membuat registri kontainer. Untuk informasi tentang mengaktifkan akun admin, lihat Akun admin nanti di artikel ini.
Setelah Anda membuat registri kontainer untuk ruang kerja, jangan hapus. Menghapusnya akan merusak ruang kerja Pembelajaran Mesin Microsoft Azure Anda.
Untuk contoh pembuatan ruang kerja dengan menggunakan registri kontainer yang ada, lihat artikel berikut ini:
- Membuat ruang kerja untuk Azure Pembelajaran Mesin dengan menggunakan Azure CLI
- Membuat ruang kerja dengan Python SDK
- Menggunakan templat Azure Resource Manager untuk membuat ruang kerja untuk Pembelajaran Mesin Microsoft Azure
Azure Container Instances
Penting
Penyebaran ke Azure Container Instances bergantung pada Azure Machine Learning Python SDK dan CLI v1.
Penting
Artikel ini memberikan informasi tentang penggunaan Azure Machine Learning SDK v1. SDK v1 tidak digunakan lagi per 31 Maret 2025. Dukungan untuk itu akan berakhir pada 30 Juni 2026. Anda dapat menginstal dan menggunakan SDK v1 hingga tanggal tersebut. Alur kerja Anda yang sudah ada menggunakan SDK v1 akan terus beroperasi setelah tanggal akhir dukungan. Namun, mereka dapat terkena risiko keamanan atau perubahan yang merusak jika terjadi perubahan arsitektur pada produk.
Kami merekomendasikan agar Anda beralih ke SDK v2 sebelum 30 Juni 2026. Untuk informasi selengkapnya tentang SDK v2, lihat Apa itu Azure Machine Learning CLI dan Python SDK v2? dan referensi SDK v2.
Penting
Beberapa perintah CLI Azure dalam artikel ini menggunakan ekstensi azure-cli-ml, atau v1, untuk Azure Machine Learning. Dukungan untuk CLI v1 berakhir pada 30 September 2025. Microsoft tidak akan lagi memberikan dukungan teknis atau pembaruan untuk layanan ini. Alur kerja Anda yang sudah ada menggunakan CLI v1 akan terus beroperasi setelah tanggal akhir dukungan. Namun, mereka dapat terkena risiko keamanan atau perubahan yang merusak jika terjadi perubahan arsitektur pada produk.
Kami menyarankan agar Anda sesegera mungkin beralih ke ekstensi ml, atau v2. Untuk informasi selengkapnya tentang ekstensi v2, lihat Ekstensi Azure Pembelajaran Mesin CLI dan Python SDK v2.
Anda dapat mengenkripsi sumber daya Azure Container Instances yang disebarkan dengan menggunakan kunci yang dikelola pelanggan. Kunci yang dikelola pelanggan yang Anda gunakan untuk Container Instances dapat disimpan di brankas kunci untuk ruang kerja Anda.
BERLAKU UNTUK:
Azure Machine Learning SDK v1 untuk Python
Untuk menggunakan kunci saat Anda menyebarkan model ke Container Instances, buat konfigurasi penyebaran baru dengan menggunakan AciWebservice.deploy_configuration(). Berikan informasi utama dengan menggunakan parameter berikut:
-
cmk_vault_base_url: URL brankas kunci yang berisi kunci. -
cmk_key_name: Nama kunci. -
cmk_key_version: Versi kunci.
Untuk informasi selengkapnya tentang membuat dan menggunakan konfigurasi penyebaran, lihat artikel berikut ini:
Untuk informasi selengkapnya tentang menggunakan kunci yang dikelola pelanggan dengan Container Instances, lihat Mengenkripsi data penyebaran.
Azure Kubernetes Service
Anda dapat mengenkripsi sumber daya Azure Kubernetes Service yang disebarkan dengan menggunakan kunci yang dikelola pelanggan kapan saja. Untuk informasi selengkapnya, lihat Membawa kunci Anda sendiri dengan Azure Kubernetes Service.
Proses ini memungkinkan Anda mengenkripsi data dan disk OS dari komputer virtual yang disebarkan di kluster Kubernetes.
Komputasi Pembelajaran Mesin
Kluster komputasi
Disk OS untuk setiap simpul komputasi yang disimpan di Azure Storage dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Pembelajaran Mesin Microsoft Azure. Target komputasi ini bersifat sementara, dan kluster biasanya menurunkan skala ketika tidak ada pekerjaan yang mengantre. Komputer virtual yang mendasar dideprovisi, dan disk OS dihapus.
Azure Disk Encryption tidak diaktifkan untuk ruang kerja secara default. Jika Anda membuat ruang kerja dengan parameter yang hbi_workspace diatur ke TRUE, disk OS dienkripsi.
Setiap komputer virtual juga memiliki disk sementara lokal untuk operasi OS. Jika mau, Anda dapat menggunakan disk untuk menyimpan sementara data pelatihan. Jika Anda membuat ruang kerja dengan parameter hbi_workspace diatur ke TRUE, maka disk sementara tersebut dienkripsi. Lingkungan ini berumur pendek (hanya selama pekerjaan Anda), dan dukungan enkripsi hanya terbatas pada kunci yang dikelola sistem.
Titik akhir online terkelola dan titik akhir batch menggunakan komputasi Azure Machine Learning di backend, dan mereka mengikuti mekanisme enkripsi yang sama.
Instansi komputasi
Disk OS untuk instans komputasi dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Azure Pembelajaran Mesin. Jika Anda membuat ruang kerja dengan parameter hbi_workspace yang diatur menjadi TRUE, OS lokal dan disk sementara pada instance komputasi dienkripsi dengan kunci yang dikelola Microsoft. Enkripsi kunci yang dikelola pelanggan tidak didukung untuk OS dan disk sementara.
Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk Azure Pembelajaran Mesin.
Azure Data Factory
Alur Azure Data Factory menyerap data untuk digunakan dengan Azure Pembelajaran Mesin. Azure Data Factory mengenkripsi data dalam keadaan diam, termasuk definisi entitas dan data yang di-cache saat pengoperasian sedang berlangsung. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft yang dibuat secara acak yang ditetapkan secara unik ke pabrik data Anda.
Untuk informasi tentang cara menggunakan kunci yang dikelola pelanggan untuk enkripsi, lihat Mengenkripsi Azure Data Factory dengan kunci yang dikelola pelanggan.
Azure Databricks
Anda dapat menggunakan Azure Databricks di alur Azure Pembelajaran Mesin. Secara default, Databricks File System (DBFS) yang digunakan Azure Databricks dienkripsi melalui kunci yang dikelola Microsoft. Untuk mengonfigurasi Azure Databricks untuk menggunakan kunci yang dikelola pelanggan, lihat Mengonfigurasi kunci yang dikelola pelanggan pada DBFS default (akar).
Data yang dihasilkan Microsoft
Saat Anda menggunakan layanan seperti Azure Pembelajaran Mesin, Microsoft mungkin menghasilkan data sementara yang telah diproses sebelumnya untuk melatih beberapa model. Data ini disimpan di datastore di ruang kerja Anda, sehingga Anda dapat menerapkan kontrol akses dan enkripsi dengan tepat.
Anda mungkin juga ingin mengenkripsi informasi diagnostik yang dicatat dari endpoint yang diterapkan dalam Application Insights.
Enkripsi saat transit
Azure Pembelajaran Mesin menggunakan Keamanan Lapisan Transportasi (TLS) untuk membantu mengamankan komunikasi internal antara berbagai layanan mikro Azure Pembelajaran Mesin. Semua akses Azure Storage juga terjadi melalui saluran aman.
Untuk membantu mengamankan panggilan eksternal yang dilakukan ke titik akhir penilaian, Azure Pembelajaran Mesin menggunakan TLS. Untuk informasi selengkapnya, lihat Menggunakan TLS untuk mengamankan layanan web melalui Azure Machine Learning.
Pengumpulan dan penanganan data
Untuk tujuan diagnostik, Microsoft mungkin mengumpulkan informasi yang tidak mengidentifikasi pengguna. Misalnya, Microsoft mungkin mengumpulkan nama sumber daya (misalnya, nama himpunan data atau nama eksperimen pembelajaran mesin) atau variabel lingkungan pekerjaan. Semua data tersebut disimpan melalui kunci yang dikelola Microsoft dalam penyimpanan yang dihosting di langganan milik Microsoft. Penyimpanan mengikuti kebijakan privasi standar Microsoft dan standar penanganan data. Data ini tetap berada dalam wilayah yang sama dengan ruang kerja Anda.
Sebaiknya jangan menyimpan informasi sensitif (seperti rahasia kunci akun) dalam variabel lingkungan. Microsoft mencatat, mengenkripsi, dan menyimpan variabel lingkungan. Demikian pula, saat Anda memberi nama pekerjaan, hindari menyertakan informasi sensitif seperti nama pengguna atau nama proyek rahasia. Informasi ini mungkin muncul di log telemetri yang dapat diakses oleh teknisi dukungan Microsoft.
Anda dapat menolak pengumpulan data diagnostik dengan mengatur parameter ke hbi_workspaceTRUE saat menyediakan ruang kerja. Fungsionalitas ini didukung saat Anda menggunakan Azure Pembelajaran Mesin Python SDK, Azure CLI, REST API, atau templat Azure Resource Manager.
Penyimpanan kredensial dalam Azure Key Vault
Azure Pembelajaran Mesin menggunakan instans Azure Key Vault yang terkait dengan ruang kerja untuk menyimpan kredensial berbagai jenis:
- string koneksi terkait untuk akun penyimpanan
- Kata sandi ke instans Azure Container Registry
- String koneksi ke penyimpanan data
Kata sandi dan kunci Secure Shell (SSH) untuk menghitung target seperti Azure HDInsight dan komputer virtual disimpan dalam brankas kunci terpisah yang terkait dengan langganan Microsoft. Azure Pembelajaran Mesin tidak menyimpan kata sandi atau kunci apa pun yang disediakan pengguna. Sebaliknya, ia menghasilkan, mengotorisasi, dan menyimpan kunci SSH-nya sendiri untuk terhubung ke komputer virtual dan HDInsight untuk menjalankan eksperimen.
Setiap ruang kerja memiliki identitas yang dikelola dan ditetapkan oleh sistem terkait dengan nama yang sama dengan ruang kerja. Identitas terkelola ini memiliki akses ke semua kunci, rahasia, dan sertifikat di brankas kunci.