Door de klant beheerde sleutels voor Azure Machine Learning
Azure Machine Learning is gebouwd op meerdere Azure-services. Hoewel de opgeslagen gegevens worden versleuteld via versleutelingssleutels die Microsoft biedt, kunt u de beveiliging verbeteren door ook uw eigen (door de klant beheerde) sleutels op te geven. De sleutels die u opgeeft, worden opgeslagen in Azure Key Vault. Uw gegevens worden opgeslagen op een set extra resources die u beheert in uw Azure-abonnement.
Naast door de klant beheerde sleutels biedt Azure Machine Learning een hbi_workspace vlag. Als u deze vlag inschakelt, wordt de hoeveelheid gegevens die Door Microsoft worden verzameld voor diagnostische doeleinden verminderd en wordt extra versleuteling ingeschakeld in door Microsoft beheerde omgevingen. Met deze vlag kunt u ook het volgende gedrag inschakelen:
- Begint met het versleutelen van de lokale scratchschijf in uw Azure Machine Learning-rekencluster als u geen eerdere clusters in dat abonnement hebt gemaakt. Anders moet u een ondersteuningsticket indienen om versleuteling van de scratchschijf in te schakelen voor uw rekenclusters.
- Schoont uw lokale scratchschijf tussen taken op.
- Hiermee worden referenties veilig doorgegeven voor uw opslagaccount, containerregister en SSH-account (Secure Shell) van de uitvoeringslaag naar uw rekenclusters met behulp van uw sleutelkluis.
De hbi_workspace vlag heeft geen invloed op versleuteling tijdens overdracht. Dit is alleen van invloed op versleuteling-at-rest.
Vereisten
- Een Azure-abonnement.
- Een Azure Key Vault-exemplaar. De sleutelkluis bevat de sleutels voor het versleutelen van uw services.
De sleutelkluis moet beveiliging tegen voorlopig verwijderen en opschonen inschakelen. De beheerde identiteit voor de services die u helpt beveiligen met behulp van een door de klant beheerde sleutel, moet de volgende machtigingen hebben voor de sleutelkluis:
- Sleutel inpakken
- Sleutel uitpakken
- Ophalen
De beheerde identiteit voor Azure Cosmos DB moet bijvoorbeeld deze machtigingen hebben voor de sleutelkluis.
Beperkingen
- Nadat de werkruimte is gemaakt, kan de door de klant beheerde versleutelingssleutel voor resources waarvoor de werkruimte afhankelijk is, alleen worden bijgewerkt naar een andere sleutel in de oorspronkelijke Azure Key Vault-resource.
- Versleutelde gegevens worden opgeslagen op resources in een door Microsoft beheerde resourcegroep in uw abonnement. U kunt deze resources niet vooraf maken of het eigendom van deze resources aan u overdragen. De levenscyclus van gegevens wordt indirect beheerd via de Azure Machine Learning-API's terwijl u objecten maakt in de Azure Machine Learning-service.
- U kunt door Microsoft beheerde resources die u gebruikt voor door de klant beheerde sleutels niet verwijderen zonder uw werkruimte te verwijderen.
- U kunt de besturingssysteemschijf van het rekencluster niet versleutelen met behulp van uw door de klant beheerde sleutels. U moet door Microsoft beheerde sleutels gebruiken.
Waarschuwing
Verwijder niet de resourcegroep die het Azure Cosmos DB-exemplaar bevat of een van de resources die automatisch in deze groep worden gemaakt. Als u de resourcegroep of door Microsoft beheerde services erin wilt verwijderen, moet u de Azure Machine Learning-werkruimte verwijderen die deze gebruikt. De resources van de resourcegroep worden verwijderd wanneer u de bijbehorende werkruimte verwijdert.
Opslag van metagegevens van werkruimte
Wanneer u uw eigen versleutelingssleutel gebruikt, worden servicemetagegevens opgeslagen op toegewezen resources in uw Azure-abonnement. Microsoft maakt hiervoor een afzonderlijke resourcegroep in uw abonnement: azureml-rg-workspacename_GUID. Alleen Microsoft kan de resources in deze beheerde resourcegroep wijzigen.
Microsoft maakt de volgende resources voor het opslaan van metagegevens voor uw werkruimte:
| Service | Gebruik | Voorbeeldgegevens |
|---|---|---|
| Azure Cosmos DB | Slaat taakgeschiedenisgegevens, rekenmetagegevens en metagegevens van assets op. | Gegevens kunnen bestaan uit taaknaam, status, volgnummer en status; naam van rekencluster, aantal kernen en aantal knooppunten; namen en tags van gegevensarchieven en beschrijvingen van assets zoals modellen; en namen van gegevenslabels. |
| Azure AI Search | Slaat indexen op die u helpen bij het opvragen van uw machine learning-inhoud. | Deze indexen worden gebouwd op basis van de gegevens die zijn opgeslagen in Azure Cosmos DB. |
| Azure Storage | Slaat metagegevens op met betrekking tot Azure Machine Learning-pijplijngegevens. | Gegevens kunnen bestaan uit ontwerppijplijnnamen, de indeling van de pijplijn en de uitvoeringseigenschappen. |
Vanuit het perspectief van het beheer van de levenscyclus van gegevens worden gegevens in de voorgaande resources gemaakt en verwijderd tijdens het maken en verwijderen van bijbehorende objecten in Azure Machine Learning.
Uw Azure Machine Learning-werkruimte leest en schrijft gegevens met behulp van de beheerde identiteit. Deze identiteit krijgt toegang tot de resources via een roltoewijzing (op rollen gebaseerd toegangsbeheer van Azure) op de gegevensbronnen. De versleutelingssleutel die u opgeeft, wordt gebruikt voor het versleutelen van gegevens die zijn opgeslagen op door Microsoft beheerde resources. Het wordt ook gebruikt om tijdens runtime indexen voor Azure AI Search te maken.
Extra netwerkbesturingselementen worden geconfigureerd wanneer u een privékoppelingseindpunt in uw werkruimte maakt om binnenkomende connectiviteit mogelijk te maken. Deze configuratie omvat het maken van een private link-eindpuntverbinding met het Azure Cosmos DB-exemplaar. Netwerktoegang is beperkt tot alleen vertrouwde Microsoft-services.
Door klant beheerde sleutels
Wanneer u geen door de klant beheerde sleutel gebruikt, maakt en beheert Microsoft resources in een Azure-abonnement dat eigendom is van Microsoft en gebruikt een door Microsoft beheerde sleutel om de gegevens te versleutelen.
Wanneer u een door de klant beheerde sleutel gebruikt, bevinden de resources zich in uw Azure-abonnement en worden ze versleuteld met uw sleutel. Hoewel deze resources aanwezig zijn in uw abonnement, beheert Microsoft deze. Ze worden automatisch gemaakt en geconfigureerd wanneer u uw Azure Machine Learning-werkruimte maakt.
Deze door Microsoft beheerde resources bevinden zich in een nieuwe Azure-resourcegroep die in uw abonnement is gemaakt. Deze resourcegroep staat los van de resourcegroep voor uw werkruimte. Het bevat de door Microsoft beheerde resources waarmee uw sleutel wordt gebruikt. De formule voor het benoemen van de resourcegroep is: <Azure Machine Learning workspace resource group name><GUID>.
Tip
De aanvraageenheden voor Azure Cosmos DB worden indien nodig automatisch geschaald.
Als uw Azure Machine Learning-werkruimte gebruikmaakt van een privé-eindpunt, bevat deze resourcegroep ook een door Microsoft beheerd virtueel Azure-netwerk. Dit virtuele netwerk helpt bij het beveiligen van de communicatie tussen de beheerde services en de werkruimte. U kunt uw eigen virtuele netwerk niet opgeven voor gebruik met de door Microsoft beheerde resources. U kunt het virtuele netwerk ook niet wijzigen. U kunt bijvoorbeeld het IP-adresbereik dat wordt gebruikt, niet wijzigen.
Belangrijk
Als uw abonnement onvoldoende quotum voor deze services heeft, treedt er een fout op.
Wanneer u een door de klant beheerde sleutel gebruikt, zijn de kosten voor uw abonnement hoger omdat deze resources zich in uw abonnement bevinden. Als u de kosten wilt schatten, gebruikt u de Azure-prijscalculator.
Opslag van rekengegevens
Azure Machine Learning maakt gebruik van rekenresources om machine learning-modellen te trainen en te implementeren. In de volgende tabel worden de rekenopties beschreven en wordt beschreven hoe gegevens worden versleuteld:
| Compute | Versleuteling |
|---|---|
| Azure Container Instances | Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel. Zie Implementatiegegevens versleutelen voor meer informatie. |
| Azure Kubernetes Service | Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel. Zie Bring Your Own Keys met Azure Disks in Azure Kubernetes Service voor meer informatie. |
| Azure Machine Learning-rekeninstantie | De lokale scratchschijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt. |
| Azure Machine Learning-rekenclusters | De besturingssysteemschijf wordt versleuteld in Azure Storage met door Microsoft beheerde sleutels. De tijdelijke schijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt. |
| Compute | Versleuteling |
|---|---|
| Azure Kubernetes Service | Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel. Zie Bring Your Own Keys met Azure Disks in Azure Kubernetes Service voor meer informatie. |
| Azure Machine Learning-rekeninstantie | De lokale scratchschijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt. |
| Azure Machine Learning-rekenclusters | De besturingssysteemschijf wordt versleuteld in Azure Storage met door Microsoft beheerde sleutels. De tijdelijke schijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt. |
Rekencluster
Rekenclusters hebben lokale besturingssysteemschijfopslag en kunnen tijdens een taak gegevens koppelen uit opslagaccounts in uw abonnement. Wanneer u gegevens uit uw eigen opslagaccount in een taak wilt koppelen, kunt u door de klant beheerde sleutels voor die opslagaccounts inschakelen voor versleuteling.
De besturingssysteemschijf voor elk rekenknooppunt dat is opgeslagen in Azure Storage, wordt altijd versleuteld met door Microsoft beheerde sleutels in Azure Machine Learning-opslagaccounts en niet met door de klant beheerde sleutels. Dit rekendoel is kortstondig, zodat gegevens die zijn opgeslagen op de besturingssysteemschijf worden verwijderd nadat het cluster omlaag wordt geschaald. Clusters worden doorgaans omlaag geschaald wanneer er geen taken in de wachtrij staan, automatisch schalen is ingeschakeld en het minimumaantal knooppunten is ingesteld op nul. De onderliggende virtuele machine is ongedaan gemaakt en de besturingssysteemschijf wordt verwijderd.
Azure Disk Encryption wordt niet ondersteund voor de besturingssysteemschijf. Elke virtuele machine heeft ook een lokale tijdelijke schijf voor besturingssysteembewerkingen. Als u wilt, kunt u de schijf gebruiken om trainingsgegevens te fasen. Als u de werkruimte maakt waarop de hbi_workspace parameter is ingesteld TRUE, wordt de tijdelijke schijf versleuteld. Deze omgeving is kortlevend (alleen tijdens uw taak) en versleutelingsondersteuning is beperkt tot alleen door het systeem beheerde sleutels.
Rekenproces
De besturingssysteemschijf voor een rekenproces wordt versleuteld met door Microsoft beheerde sleutels in Azure Machine Learning-opslagaccounts. Als u de werkruimte maakt waarop de hbi_workspace parameter is ingesteld TRUE, wordt de lokale tijdelijke schijf op het rekenproces versleuteld met door Microsoft beheerde sleutels. Door de klant beheerde sleutelversleuteling wordt niet ondersteund voor besturingssysteem- en tijdelijke schijven.
hbi_workspace vlag
U kunt de hbi_workspace vlag alleen instellen wanneer u een werkruimte maakt. U kunt deze niet wijzigen voor een bestaande werkruimte.
Wanneer u deze vlag TRUEinstelt op, kan dit de problemen met het oplossen van problemen verhogen omdat er minder telemetriegegevens naar Microsoft worden verzonden. Er is minder inzicht in succespercentages of probleemtypen. Microsoft kan mogelijk niet zo proactief reageren als deze vlag is TRUE.
Als u de hbi_workspace vlag wilt inschakelen wanneer u een Azure Machine Learning-werkruimte maakt, volgt u de stappen in een van de volgende artikelen:
- Een werkruimte maken en beheren met behulp van Azure Portal of de Python SDK
- Een werkruimte maken en beheren met behulp van de Azure CLI
- Een werkruimte maken met behulp van HashiCorp Terraform
- Een werkruimte maken met behulp van Azure Resource Manager-sjablonen