Menggunakan kunci yang dikelola pelanggan dengan Azure Machine Learning
Dalam artikel konsep kunci yang dikelola pelanggan, Anda mempelajari kemampuan enkripsi yang diberikan Azure Machine Learning. Sekarang pelajari cara menggunakan kunci yang dikelola pelanggan dengan Azure Machine Learning.
Azure Pembelajaran Mesin bergantung pada layanan berikut yang menggunakan kunci yang dikelola pelanggan:
| Layanan | Untuk apa digunakan |
|---|---|
| Azure Cosmos DB | Menyimpan metadata untuk Azure Machine Learning |
| Pencarian Azure AI | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Azure Storage | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Azure Kubernetes Service | Menghosting model terlatih sebagai titik akhir inferensi |
Anda menggunakan kunci yang sama untuk membantu mengamankan Azure Cosmos DB, Azure AI Search, dan Azure Storage. Anda dapat menggunakan kunci yang berbeda untuk Azure Kubernetes Service.
Saat Anda menggunakan kunci yang dikelola pelanggan dengan Azure Cosmos DB, Azure AI Search, dan Azure Storage, kunci disediakan saat Anda membuat ruang kerja. Kunci yang Anda gunakan dengan Azure Kubernetes Service disediakan saat Anda mengonfigurasi sumber daya tersebut.
| Layanan | Untuk apa digunakan |
|---|---|
| Azure Cosmos DB | Menyimpan metadata untuk Azure Machine Learning |
| Pencarian Azure AI | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Azure Storage | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Azure Kubernetes Service | Menghosting model terlatih sebagai titik akhir inferensi |
| Azure Container Instances | Menghosting model terlatih sebagai titik akhir inferensi |
Anda menggunakan kunci yang sama untuk membantu mengamankan Azure Cosmos DB, Azure AI Search, dan Azure Storage. Anda dapat menggunakan kunci yang berbeda untuk Azure Kubernetes Service dan Azure Container Instances.
Saat Anda menggunakan kunci yang dikelola pelanggan dengan Azure Cosmos DB, Azure AI Search, dan Azure Storage, kunci disediakan saat Anda membuat ruang kerja. Kunci yang Anda gunakan dengan Azure Container Instances dan Azure Kubernetes Service disediakan saat Anda mengonfigurasi sumber daya tersebut.
Prasyarat
Langganan Azure.
Penyedia sumber daya Azure berikut harus didaftarkan:
Penyedia sumber daya Mengapa dibutuhkan Microsoft.MachineLearningServices Membuat ruang kerja Azure Machine Learning. Microsoft.Storage Akun Storage digunakan sebagai penyimpanan default untuk ruang kerja. Microsoft.KeyVault Azure Key Vault digunakan oleh ruang kerja untuk menyimpan rahasia. Microsoft.DocumentDB Instans Azure Cosmos DB yang mencatat metadata untuk ruang kerja. Microsoft.Search Azure AI Search menyediakan kemampuan pengindeksan untuk ruang kerja. Untuk informasi selengkapnya tentang cara mendaftarkan penyedia sumber daya, lihat Mengatasi kesalahan untuk pendaftaran penyedia sumber daya.
Batasan
- Setelah pembuatan ruang kerja, kunci enkripsi yang dikelola pelanggan untuk sumber daya yang bergantung pada ruang kerja hanya dapat diperbarui ke kunci lain di sumber daya Azure Key Vault asli..
- Sumber daya yang dikelola oleh Microsoft dalam langganan Anda tidak dapat mentransfer kepemilikan kepada Anda.
- Anda tidak dapat menghapus sumber daya yang dikelola Microsoft yang digunakan untuk kunci yang dikelola pelanggan tanpa juga menghapus ruang kerja Anda.
- Brankas kunci yang berisi kunci yang dikelola pelanggan Anda harus berada dalam langganan Azure yang sama dengan ruang kerja Azure Pembelajaran Mesin.
- Disk OS komputasi pembelajaran mesin tidak dapat dienkripsi dengan kunci yang dikelola pelanggan, tetapi dapat dienkripsi dengan kunci yang dikelola Microsoft jika ruang kerja dibuat dengan
hbi_workspaceparameter diatur keTRUE. Untuk detail selengkapnya, lihat Enkripsi data.
Penting
Saat menggunakan kunci yang dikelola pelanggan, biaya untuk langganan Anda akan lebih tinggi karena sumber daya tambahan dalam langganan Anda. Untuk memperkirakan biaya, gunakan Kalkulator harga Azure.
Buat Azure Key Vault
Untuk membuat brankas kunci, lihat Membuat brankas kunci. Saat membuat Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan hapus menyeluruh.
Penting
Brankas kunci harus berada dalam langganan Azure yang sama yang akan berisi ruang kerja Azure Pembelajaran Mesin Anda.
Membuat kunci
Tip
Jika Anda mengalami masalah saat membuat kunci, itu mungkin disebabkan oleh kontrol akses berbasis peran Azure yang telah diterapkan dalam langganan Anda. Pastikan bahwa perwakilan keamanan (pengguna, identitas terkelola, perwakilan layanan, dll.) yang Anda gunakan untuk membuat kunci telah diberi peran Kontributor untuk instans brankas kunci. Anda juga harus mengonfigurasi Kebijakan akses di brankas kunci yang memberikan otorisasi prinsipal keamanan Buat, Dapatkan, Hapus, dan Hapus menyeluruh.
Jika Anda berencana untuk menggunakan identitas terkelola yang ditetapkan pengguna untuk ruang kerja Anda, identitas terkelola juga harus ditetapkan pada peran-peran dan kebijakan akses ini.
Untuk informasi lebih lanjut, baca artikel berikut:
Dari portal Microsoft Azure, pilih instans brankas kunci. Lalu, pilih Kunci dari sebelah kiri.
Pilih + Hasilkan/Impor dari bagian atas halaman. Gunakan nilai berikut untuk membuat kunci:
- Atur Opsi ke Hasilkan.
- Masukkan Nama untuk kunci. Nama harus menjadi sesuatu yang mengidentifikasi rencana penggunaannya. Contohnya,
my-cosmos-key. - Atur Jenis kunci ke RSA.
- Sebaiknya pilih setidaknya 3072 untuk ukuran kunci RSA.
- Biarkan Diaktifkan diatur ke ya.
Secara opsional Anda dapat mengatur tanggal aktivasi, kedaluwarsa, dan tag.
Pilih Buat untuk membuat kunci.
Mengizinkan Azure Cosmos DB untuk mengakses kunci
- Untuk mengonfigurasi brankas kunci, pilih brankas kunci di portal Microsoft Azure lalu pilih Kebijakan akses dari menu kiri.
- Untuk membuat izin untuk Azure Cosmos DB, pilih + Buat di bagian atas halaman. Di bawah Izin Kunci, pilih izin Dapatkan, Kunci Unwrap, dan Kunci Wrap.
- Di bawah Prinsipal, cari dan pilih Azure Cosmos DB. ID prinsipal untuk entri ini adalah
a232010e-820c-4083-83bb-3ace5fc29d0buntuk semua wilayah selain Azure Government. Untuk Azure Government, ID prinsipal adalah57506a73-e302-42a9-b869-6f12d9ec29e9. - Pilih Tinjauan + Buat, kemudian pilih Buat.
Membuat ruang kerja yang menggunakan kunci yang dikelola pelanggan
Buat ruang kerja Azure Machine Learning. Saat membuat ruang kerja, Anda harus memilih Azure Key Vault dan kuncinya. Bergantung pada cara Anda membuat ruang kerja, Anda dapat menentukan sumber daya ini dengan cara yang berbeda:
Peringatan
Brankas kunci yang berisi kunci yang dikelola pelanggan Anda harus berada dalam langganan Azure yang sama dengan ruang kerja.
Portal Microsoft Azure: Pilih brankas kunci dan kunci dari kotak input dropdown saat mengonfigurasi ruang kerja.
Templat Azure Resource Manager, SDK, dan REST API: Berikan ID Azure Resource Manager dari brankas kunci dan URL untuk kunci. Untuk mendapatkan nilai-nilai ini, gunakan Azure CLI dan perintah berikut:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kidNilai ID brankas kunci akan mirip dengan
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv. URL untuk kunci akan mirip denganhttps://mykv.vault.azure.net/keys/mykey/{GUID}.
Untuk contoh pembuatan ruang kerja dengan kunci yang dikelola pelanggan, lihat artikel berikut:
| Metode Pembuatan | Artikel |
|---|---|
| CLI | Membuat ruang kerja dengan Azure CLI |
| Portal Microsoft Azure/ SDK Python |
Membuat dan mengelola ruang kerja |
| Templat Azure Resource Manager |
Membuat ruang kerja dengan templat |
| REST API | Membuat, menjalankan, dan menghapus sumber daya Azure Pembelajaran Mesin dengan REST |
Setelah ruang kerja dibuat, Anda akan melihat bahwa grup sumber daya Azure dibuat dalam langganan Anda. Grup ini merupakan tambahan dari grup sumber daya untuk ruang kerja Anda. Grup sumber daya ini akan berisi sumber daya yang dikelola Microsoft yang digunakan dengan kunci Anda. Grup sumber daya akan diberi nama menggunakan rumus <Azure Machine Learning workspace resource group name><GUID>. Ini akan berisi instans Azure Cosmos DB, Akun Azure Storage, dan Azure AI Search.
Tip
- RU untuk instans Azure Cosmos DB otomatis diskalakan sesuai kebutuhan.
- Jika ruang kerja Azure Machine Learning Anda menggunakan titik akhir privat, grup sumber daya ini juga akan berisi Azure Virtual Network yang dikelola Microsoft. VNet ini digunakan untuk mengamankan komunikasi antara layanan terkelola dan ruang kerja. Anda tidak dapat menyediakan VNet Anda sendiri untuk digunakan dengan sumber daya yang dikelola Microsoft. Anda juga tidak dapat mengubah jaringan virtual. Misalnya, Anda tidak dapat mengubah rentang alamat IP yang digunakannya.
Penting
Jika langganan Anda tidak memiliki kuota yang cukup untuk layanan ini, kegagalan akan terjadi.
Peringatan
Jangan hapus grup sumber daya yang berisi instans Azure Cosmos DB ini, atau sumber daya apa pun yang dibuat secara otomatis dalam grup ini. Jika Anda perlu menghapus grup sumber daya atau layanan yang dikelola Microsoft di dalamnya, Anda harus menghapus ruang kerja Azure Machine Learning yang menggunakannya. Sumber daya grup sumber daya akan dihapus saat ruang kerja terkait dihapus.
Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan dengan Azure Cosmos DB, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk akun Azure Cosmos DB Anda.
Azure Container Instance
Penting
Menyebarkan ke Azure Container Instances tidak tersedia di SDK atau CLI v2. Hanya melalui SDK & CLI v1.
Saat menyebarkan model terlatih ke instans Kontainer Azure (ACI), Anda dapat mengenkripsi sumber daya yang disebarkan menggunakan kunci yang dikelola pelanggan. Untuk informasi tentang menghasilkan kunci, lihat Mengenkripsi data dengan kunci yang dikelola pelanggan.
Untuk menggunakan kunci saat menyebarkan model ke Azure Container Instance, buat konfigurasi penyebaran baru menggunakan AciWebservice.deploy_configuration(). Berikan informasi kunci menggunakan parameter berikut:
cmk_vault_base_url: URL brankas kunci yang berisi kunci.cmk_key_name: Nama kunci.cmk_key_version: Versi kunci.
Untuk informasi selengkapnya tentang membuat dan menggunakan konfigurasi penyebaran, lihat artikel berikut ini:
Menyebarkan model ke Azure Container Instances (SDK/CLI v1)
Untuk informasi selengkapnya tentang menggunakan kunci yang dikelola pelanggan dengan ACI, lihat Mengenkripsi data penyebaran.
Azure Kubernetes Service
Anda dapat mengenkripsi sumber daya Azure Kubernetes Service yang disebarkan menggunakan kunci yang dikelola pelanggan kapan saja. Untuk informasi selengkapnya, lihat Membawa kunci Anda sendiri dengan Azure Kubernetes Service.
Proses ini memungkinkan Anda untuk mengenkripsi Data dan Disk OS dari komputer virtual yang disebarkan di kluster Kubernetes.
Penting
Proses ini hanya berfungsi dengan AKS K8s versi 1.17 atau yang lebih tinggi.