Delen via


Door de klant beheerde sleutels voor Azure Machine Learning

Azure Machine Learning is gebouwd op meerdere Azure-services. Hoewel de opgeslagen gegevens worden versleuteld via versleutelingssleutels die Microsoft biedt, kunt u de beveiliging verbeteren door ook uw eigen (door de klant beheerde) sleutels op te geven. De sleutels die u opgeeft, worden opgeslagen in Azure Key Vault. Uw gegevens kunnen worden opgeslagen op een set andere resources die u beheert in uw Azure-abonnement of (preview) aan de serverzijde van door Microsoft beheerde resources.

Naast door de klant beheerde sleutels (CMK) biedt Azure Machine Learning een hbi_workspace vlag. Als u deze vlag inschakelt, wordt de hoeveelheid gegevens die Door Microsoft worden verzameld voor diagnostische doeleinden verminderd en wordt extra versleuteling ingeschakeld in door Microsoft beheerde omgevingen. Met deze vlag kunt u ook het volgende gedrag inschakelen:

  • Begint met het versleutelen van de lokale scratchschijf in uw Azure Machine Learning-rekencluster als u geen eerdere clusters in dat abonnement hebt gemaakt. Anders moet u een ondersteuningsticket indienen om versleuteling van de scratchschijf in te schakelen voor uw rekenclusters.
  • Schoont uw lokale scratchschijf tussen taken op.
  • Hiermee worden referenties veilig doorgegeven voor uw opslagaccount, containerregister en SSH-account (Secure Shell) van de uitvoeringslaag naar uw rekenclusters met behulp van uw sleutelkluis.

De hbi_workspace vlag heeft geen invloed op versleuteling tijdens overdracht. Dit is alleen van invloed op versleuteling-at-rest.

Vereisten

  • Een Azure-abonnement.
  • Een Azure Key Vault-exemplaar. De sleutelkluis bevat de sleutels voor het versleutelen van uw services.

De sleutelkluis moet beveiliging tegen voorlopig verwijderen en opschonen inschakelen. De beheerde identiteit voor de services die u helpt beveiligen met behulp van een door de klant beheerde sleutel, moet de volgende machtigingen hebben voor de sleutelkluis:

  • Sleutel inpakken
  • Sleutel uitpakken
  • Ophalen

De beheerde identiteit voor Azure Cosmos DB moet bijvoorbeeld deze machtigingen hebben voor de sleutelkluis.

Beperkingen

  • Nadat de werkruimte is gemaakt, kan de door de klant beheerde versleutelingssleutel voor resources waarvoor de werkruimte afhankelijk is, alleen worden bijgewerkt naar een andere sleutel in de oorspronkelijke Azure Key Vault-resource.
  • Tenzij u de preview-versie aan de serverzijde gebruikt, worden de versleutelde gegevens opgeslagen op resources in een door Microsoft beheerde resourcegroep in uw abonnement. U kunt deze resources niet vooraf maken of het eigendom van deze resources aan u overdragen. De levenscyclus van gegevens wordt indirect beheerd via de Azure Machine Learning-API's terwijl u objecten maakt in de Azure Machine Learning-service.
  • U kunt door Microsoft beheerde resources die u gebruikt voor door de klant beheerde sleutels niet verwijderen zonder uw werkruimte te verwijderen.
  • U kunt de besturingssysteemschijf van het rekencluster niet versleutelen met behulp van uw door de klant beheerde sleutels. U moet door Microsoft beheerde sleutels gebruiken.

Waarschuwing

Verwijder niet de resourcegroep die het Azure Cosmos DB-exemplaar bevat of een van de resources die automatisch in deze groep worden gemaakt. Als u de resourcegroep of door Microsoft beheerde services erin wilt verwijderen, moet u de Azure Machine Learning-werkruimte verwijderen die deze gebruikt. De resources van de resourcegroep worden verwijderd wanneer u de bijbehorende werkruimte verwijdert.

Door klant beheerde sleutels

Wanneer u geen door de klant beheerde sleutel gebruikt, maakt en beheert Microsoft resources in een Azure-abonnement dat eigendom is van Microsoft en gebruikt een door Microsoft beheerde sleutel om de gegevens te versleutelen.

Wanneer u een door de klant beheerde sleutel gebruikt, bevinden de resources zich in uw Azure-abonnement en worden ze versleuteld met uw sleutel. Hoewel deze resources aanwezig zijn in uw abonnement, beheert Microsoft deze. Deze resources worden automatisch gemaakt en geconfigureerd wanneer u uw Azure Machine Learning-werkruimte maakt.

Deze door Microsoft beheerde resources bevinden zich in een nieuwe Azure-resourcegroep die in uw abonnement is gemaakt. Deze resourcegroep staat los van de resourcegroep voor uw werkruimte. Het bevat de door Microsoft beheerde resources waarmee uw sleutel wordt gebruikt. De formule voor het benoemen van de resourcegroep is: <Azure Machine Learning workspace resource group name><GUID>.

Tip

De aanvraageenheden voor Azure Cosmos DB worden indien nodig automatisch geschaald.

Als uw Azure Machine Learning-werkruimte gebruikmaakt van een privé-eindpunt, bevat deze resourcegroep ook een door Microsoft beheerd virtueel Azure-netwerk. Dit virtuele netwerk helpt bij het beveiligen van de communicatie tussen de beheerde services en de werkruimte. U kunt uw eigen virtuele netwerk niet opgeven voor gebruik met de door Microsoft beheerde resources. U kunt het virtuele netwerk ook niet wijzigen. U kunt bijvoorbeeld het IP-adresbereik dat wordt gebruikt, niet wijzigen.

Belangrijk

Als uw abonnement onvoldoende quotum voor deze services heeft, treedt er een fout op.

Wanneer u een door de klant beheerde sleutel gebruikt, zijn de kosten voor uw abonnement hoger omdat deze resources zich in uw abonnement bevinden. Als u de kosten wilt schatten, gebruikt u de Azure-prijscalculator.

Versleuteling van gegevens op rekenresources

Azure Machine Learning maakt gebruik van rekenresources om machine learning-modellen te trainen en te implementeren. In de volgende tabel worden de rekenopties beschreven en wordt beschreven hoe gegevens worden versleuteld:

Compute Versleuteling
Azure Container Instances Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel.
Zie Implementatiegegevens versleutelen voor meer informatie.
Azure Kubernetes Service Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel.
Zie Bring Your Own Keys met Azure Disks in Azure Kubernetes Service voor meer informatie.
Azure Machine Learning-rekeninstantie De lokale scratchschijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt.
Azure Machine Learning-rekenclusters De besturingssysteemschijf wordt versleuteld in Azure Storage met door Microsoft beheerde sleutels. De tijdelijke schijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt.
Compute Versleuteling
Azure Kubernetes Service Gegevens worden versleuteld met een door Microsoft beheerde sleutel of een door de klant beheerde sleutel.
Zie Bring Your Own Keys met Azure Disks in Azure Kubernetes Service voor meer informatie.
Azure Machine Learning-rekeninstantie De lokale scratchschijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt.
Azure Machine Learning-rekenclusters De besturingssysteemschijf wordt versleuteld in Azure Storage met door Microsoft beheerde sleutels. De tijdelijke schijf wordt versleuteld als u de hbi_workspace vlag voor de werkruimte inschakelt.

Rekencluster

Rekenclusters hebben lokale besturingssysteemschijfopslag en kunnen tijdens een taak gegevens koppelen uit opslagaccounts in uw abonnement. Wanneer u gegevens uit uw eigen opslagaccount in een taak wilt koppelen, kunt u door de klant beheerde sleutels voor die opslagaccounts inschakelen voor versleuteling.

De besturingssysteemschijf voor elk rekenknooppunt wordt opgeslagen in Azure Storage en wordt altijd versleuteld met door Microsoft beheerde sleutels in Azure Machine Learning-opslagaccounts en niet met door de klant beheerde sleutels. Dit rekendoel is kortstondig, dus gegevens die zijn opgeslagen op de besturingssysteemschijf worden verwijderd nadat het cluster omlaag is geschaald. Clusters worden doorgaans omlaag geschaald wanneer er geen taken in de wachtrij staan, automatisch schalen is ingeschakeld en het minimumaantal knooppunten is ingesteld op nul. De onderliggende virtuele machine is ongedaan gemaakt en de besturingssysteemschijf wordt verwijderd.

Azure Disk Encryption wordt niet ondersteund voor de besturingssysteemschijf. Elke virtuele machine heeft ook een lokale tijdelijke schijf voor besturingssysteembewerkingen. Als u wilt, kunt u de schijf gebruiken om trainingsgegevens te fasen. Als u de werkruimte maakt waarop de hbi_workspace parameter is ingesteld TRUE, wordt de tijdelijke schijf versleuteld. Deze omgeving is kortlevend (alleen tijdens uw taak) en versleutelingsondersteuning is beperkt tot alleen door het systeem beheerde sleutels.

Rekenproces

De besturingssysteemschijf voor een rekenproces wordt versleuteld met door Microsoft beheerde sleutels in Azure Machine Learning-opslagaccounts. Als u de werkruimte maakt waarop de hbi_workspace parameter is ingesteld TRUE, wordt de lokale tijdelijke schijf op het rekenproces versleuteld met door Microsoft beheerde sleutels. Door de klant beheerde sleutelversleuteling wordt niet ondersteund voor besturingssysteem- en tijdelijke schijven.

Opslag van metagegevens van versleutelde werkruimten

Wanneer u uw eigen versleutelingssleutel gebruikt, worden servicemetagegevens opgeslagen op toegewezen resources in uw Azure-abonnement. Microsoft maakt hiervoor een afzonderlijke resourcegroep in uw abonnement: azureml-rg-workspacename_GUID. Alleen Microsoft kan de resources in deze beheerde resourcegroep wijzigen.

Microsoft maakt de volgende resources voor het opslaan van metagegevens voor uw werkruimte:

Service Gebruik Voorbeeldgegevens
Azure Cosmos DB Slaat taakgeschiedenisgegevens, rekenmetagegevens en metagegevens van assets op. Gegevens kunnen bestaan uit taaknaam, status, volgnummer en status; naam van rekencluster, aantal kernen en aantal knooppunten; namen en tags van gegevensarchieven en beschrijvingen van assets zoals modellen; en namen van gegevenslabels.
Azure AI Search Slaat indexen op die u helpen bij het opvragen van uw machine learning-inhoud. Deze indexen worden gebouwd op basis van de gegevens die zijn opgeslagen in Azure Cosmos DB.
Azure Storage Slaat metagegevens op met betrekking tot Azure Machine Learning-pijplijngegevens. Gegevens kunnen bestaan uit ontwerppijplijnnamen, de indeling van de pijplijn en de uitvoeringseigenschappen.

Vanuit het perspectief van het beheer van de levenscyclus van gegevens worden gegevens in de voorgaande resources gemaakt en verwijderd tijdens het maken en verwijderen van bijbehorende objecten in Azure Machine Learning.

Uw Azure Machine Learning-werkruimte leest en schrijft gegevens met behulp van de beheerde identiteit. Deze identiteit krijgt toegang tot de resources via een roltoewijzing (op rollen gebaseerd toegangsbeheer van Azure) op de gegevensbronnen. De versleutelingssleutel die u opgeeft, wordt gebruikt voor het versleutelen van gegevens die zijn opgeslagen op door Microsoft beheerde resources. Tijdens runtime wordt de sleutel ook gebruikt voor het maken van indexen voor Azure AI Search.

Extra netwerkbesturingselementen worden geconfigureerd wanneer u een privékoppelingseindpunt in uw werkruimte maakt om binnenkomende connectiviteit mogelijk te maken. Deze configuratie omvat het maken van een private link-eindpuntverbinding met het Azure Cosmos DB-exemplaar. Netwerktoegang is beperkt tot alleen vertrouwde Microsoft-services.

(Preview) Versleuteling aan de servicezijde van metagegevens

Een nieuwe architectuur voor de door de klant beheerde sleutelversleutelingswerkruimte is beschikbaar in preview, waardoor de kosten worden verlaagd ten opzichte van de huidige architectuur en de kans op conflicten met Azure-beleid wordt beperkt. In dit nieuwe model worden versleutelde gegevens opgeslagen aan de servicezijde van door Microsoft beheerde resources in plaats van in uw abonnement.

Gegevens die eerder in Azure Cosmos DB in uw abonnement zijn opgeslagen, worden opgeslagen in door Microsoft beheerde resources met versleuteling op documentniveau met behulp van uw versleutelingssleutel. Zoekindexen die eerder zijn opgeslagen in Azure AI Search in uw abonnement, worden opgeslagen in door Microsoft beheerde resources die speciaal voor u per werkruimte zijn ingericht. De kosten van het Azure AI-zoekexemplaren worden in rekening gebracht onder uw Azure Machine Learning-werkruimte in Microsoft Cost Management.

Metagegevens van pijplijnen die eerder zijn opgeslagen in een opslagaccount in een beheerde resourcegroep, worden nu opgeslagen in het opslagaccount in uw abonnement dat is gekoppeld aan de Azure Machine Learning-werkruimte. Omdat deze Azure Storage-resource afzonderlijk wordt beheerd in uw abonnement, bent u verantwoordelijk voor het configureren van versleutelingsinstellingen.

Als u zich wilt aanmelden voor deze preview, stelt u de enableServiceSideCMKEncryption optie in op een REST API of in uw Bicep- of Resource Manager-sjabloon. U kunt ook Azure Portal gebruiken.

Schermopname van het tabblad Versleuteling met de optie voor versleuteling aan de serverzijde geselecteerd.

Notitie

Tijdens deze preview-sleutelrotatie en mogelijkheden voor gegevenslabels worden niet ondersteund. Versleuteling aan de serverzijde wordt momenteel niet ondersteund in verwijzing naar een Azure Key Vault voor het opslaan van uw versleutelingssleutel waarvoor openbare netwerktoegang is uitgeschakeld.

Zie voor sjablonen die een werkruimte maken met versleuteling aan de servicezijde van metagegevens

hbi_workspace vlag

U kunt de hbi_workspace vlag alleen instellen wanneer u een werkruimte maakt. U kunt deze niet wijzigen voor een bestaande werkruimte.

Wanneer u deze vlag TRUEinstelt op, kan dit de problemen met het oplossen van problemen verhogen omdat er minder telemetriegegevens naar Microsoft worden verzonden. Er is minder inzicht in succespercentages of probleemtypen. Microsoft kan mogelijk niet zo proactief reageren als deze vlag is TRUE.

Als u de hbi_workspace vlag wilt inschakelen wanneer u een Azure Machine Learning-werkruimte maakt, volgt u de stappen in een van de volgende artikelen:

Volgende stappen