Klucze zarządzane przez klienta dla usługi Azure Machine Edukacja
Usługa Azure Machine Learning jest oparta na wielu usługach platformy Azure. Mimo że przechowywane dane są szyfrowane za pośrednictwem kluczy szyfrowania zapewnianych przez firmę Microsoft, można zwiększyć bezpieczeństwo, udostępniając również własne (zarządzane przez klienta) klucze. Podane klucze są przechowywane w usłudze Azure Key Vault. Dane są przechowywane w zestawie dodatkowych zasobów zarządzanych w ramach subskrypcji platformy Azure.
Oprócz kluczy zarządzanych przez klienta usługa Azure Machine Edukacja udostępnia flagę hbi_workspace. Włączenie tej flagi zmniejsza ilość danych zbieranych przez firmę Microsoft do celów diagnostycznych i umożliwia dodatkowe szyfrowanie w środowiskach zarządzanych przez firmę Microsoft. Ta flaga umożliwia również następujące zachowania:
- Rozpoczyna szyfrowanie lokalnego dysku tymczasowego w klastrze obliczeniowym usługi Azure Machine Edukacja, jeśli nie utworzono żadnych poprzednich klastrów w tej subskrypcji. W przeciwnym razie należy zgłosić bilet pomocy technicznej, aby włączyć szyfrowanie dysku tymczasowego dla klastrów obliczeniowych.
- Czyści lokalny dysk tymczasowy między zadaniami.
- Bezpiecznie przekazuje poświadczenia dla konta magazynu, rejestru kontenerów i konta protokołu Secure Shell (SSH) z warstwy wykonywania do klastrów obliczeniowych przy użyciu magazynu kluczy.
Flaga hbi_workspace nie wpływa na szyfrowanie podczas przesyłania. Ma to wpływ tylko na szyfrowanie magazynowane.
Wymagania wstępne
- Subskrypcja platformy Azure.
- Wystąpienie usługi Azure Key Vault. Magazyn kluczy zawiera klucze do szyfrowania usług.
Magazyn kluczy musi włączyć ochronę przed usuwaniem nietrwałym i przeczyszczeniem. Tożsamość zarządzana usług, które ułatwiają zabezpieczanie przy użyciu klucza zarządzanego przez klienta, musi mieć następujące uprawnienia do magazynu kluczy:
- Opakuj klucz
- Odpakuj klucz
- Get
Na przykład tożsamość zarządzana usługi Azure Cosmos DB musi mieć te uprawnienia do magazynu kluczy.
Ograniczenia
- Po utworzeniu obszaru roboczego klucz szyfrowania zarządzany przez klienta dla zasobów, od których zależy obszar roboczy, można zaktualizować tylko do innego klucza w oryginalnym zasobie usługi Azure Key Vault.
- Zaszyfrowane dane są przechowywane w zasobach w grupie zasobów zarządzanych przez firmę Microsoft w ramach subskrypcji. Nie można utworzyć tych zasobów z góry ani przenieść własności tych zasobów do Ciebie. Cykl życia danych jest zarządzany pośrednio za pośrednictwem interfejsów API usługi Azure Machine Edukacja podczas tworzenia obiektów w usłudze Azure Machine Edukacja.
- Nie można usunąć zasobów zarządzanych przez firmę Microsoft używanych na potrzeby kluczy zarządzanych przez klienta bez usuwania obszaru roboczego.
- Nie można zaszyfrować dysku systemu operacyjnego klastra obliczeniowego przy użyciu kluczy zarządzanych przez klienta. Należy użyć kluczy zarządzanych przez firmę Microsoft.
Ostrzeżenie
Nie usuwaj grupy zasobów zawierającej wystąpienie usługi Azure Cosmos DB ani żadnego z zasobów, które są automatycznie tworzone w tej grupie. Jeśli musisz usunąć w niej grupę zasobów lub usługi zarządzane przez firmę Microsoft, musisz usunąć obszar roboczy usługi Azure Machine Edukacja, który go używa. Zasoby grupy zasobów są usuwane po usunięciu skojarzonego obszaru roboczego.
Przechowywanie metadanych obszaru roboczego
W przypadku korzystania z własnego klucza szyfrowania metadane usługi są przechowywane w dedykowanych zasobach w ramach subskrypcji platformy Azure. Firma Microsoft tworzy oddzielną grupę zasobów w ramach subskrypcji w tym celu: azureml-rg-workspacename_GUID. Tylko firma Microsoft może modyfikować zasoby w tej zarządzanej grupie zasobów.
Firma Microsoft tworzy następujące zasoby do przechowywania metadanych dla obszaru roboczego:
| Service | Sposób użycia | Przykładowe dane |
|---|---|---|
| Azure Cosmos DB | Przechowuje dane historii zadań, metadane obliczeniowe i metadane zasobu. | Dane mogą obejmować nazwę zadania, stan, numer sekwencji i stan; nazwa klastra obliczeniowego, liczba rdzeni i liczba węzłów; nazwy i tagi magazynu danych oraz opisy zasobów, takich jak modele; i nazwy etykiet danych. |
| Azure AI Search | Przechowuje indeksy, które ułatwiają wykonywanie zapytań dotyczących zawartości uczenia maszynowego. | Te indeksy są oparte na danych przechowywanych w usłudze Azure Cosmos DB. |
| Azure Storage | Przechowuje metadane związane z danymi potoku usługi Azure Machine Edukacja. | Dane mogą zawierać nazwy potoków projektanta, układ potoku i właściwości wykonywania. |
Z perspektywy zarządzania cyklem życia danych dane w poprzednich zasobach są tworzone i usuwane podczas tworzenia i usuwania odpowiednich obiektów w usłudze Azure Machine Edukacja.
Obszar roboczy usługi Azure Machine Edukacja odczytuje i zapisuje dane przy użyciu tożsamości zarządzanej. Ta tożsamość ma dostęp do zasobów za pośrednictwem przypisania roli (kontroli dostępu opartej na rolach platformy Azure) w zasobach danych. Klucz szyfrowania, który podajesz, służy do szyfrowania danych przechowywanych w zasobach zarządzanych przez firmę Microsoft. Służy również do tworzenia indeksów dla usługi Azure AI Search w czasie wykonywania.
Dodatkowe kontrolki sieciowe są konfigurowane podczas tworzenia punktu końcowego łącza prywatnego w obszarze roboczym w celu umożliwienia łączności przychodzącej. Ta konfiguracja obejmuje tworzenie połączenia punktu końcowego łącza prywatnego z wystąpieniem usługi Azure Cosmos DB. Dostęp do sieci jest ograniczony tylko do zaufanych usługi firmy Microsoft.
Klucze zarządzane przez klienta
Jeśli nie używasz klucza zarządzanego przez klienta, firma Microsoft tworzy zasoby należące do firmy Microsoft i zarządza nimi w ramach subskrypcji platformy Azure należącej do firmy Microsoft i używa klucza zarządzanego przez firmę Microsoft do szyfrowania danych.
W przypadku korzystania z klucza zarządzanego przez klienta zasoby znajdują się w subskrypcji platformy Azure i są szyfrowane przy użyciu klucza. Chociaż te zasoby istnieją w twojej subskrypcji, firma Microsoft zarządza nimi. Zasoby te są tworzone i konfigurowane automatycznie podczas tworzenia obszaru roboczego usługi Azure Machine Learning.
Te zasoby zarządzane przez firmę Microsoft znajdują się w nowej grupie zasobów platformy Azure utworzonej w ramach subskrypcji. Ta grupa zasobów jest oddzielona od grupy zasobów dla obszaru roboczego. Zawiera ona zasoby zarządzane przez firmę Microsoft, z którymi jest używany klucz. Formuła nazewnictwa grupy zasobów to: <Azure Machine Learning workspace resource group name><GUID>.
Napiwek
Jednostki żądań dla usługi Azure Cosmos DB są automatycznie skalowane zgodnie z potrzebami.
Jeśli obszar roboczy usługi Azure Machine Edukacja używa prywatnego punktu końcowego, ta grupa zasobów zawiera również sieć wirtualną platformy Azure zarządzaną przez firmę Microsoft. Ta sieć wirtualna ułatwia bezpieczną komunikację między usługami zarządzanymi a obszarem roboczym. Nie można udostępnić własnej sieci wirtualnej do użycia z zasobami zarządzanymi przez firmę Microsoft. Nie można również zmodyfikować sieci wirtualnej. Na przykład nie można zmienić używanego zakresu adresów IP.
Ważne
Jeśli twoja subskrypcja nie ma wystarczającego limitu przydziału dla tych usług, wystąpi błąd.
W przypadku korzystania z klucza zarządzanego przez klienta koszty subskrypcji są wyższe, ponieważ te zasoby znajdują się w subskrypcji. Aby oszacować koszt, użyj kalkulatora cen platformy Azure.
Przechowywanie danych obliczeniowych
Usługa Azure Machine Edukacja używa zasobów obliczeniowych do trenowania i wdrażania modeli uczenia maszynowego. W poniższej tabeli opisano opcje obliczeniowe i sposób szyfrowania danych przez poszczególne elementy:
| Compute | Szyfrowanie |
|---|---|
| Azure Container Instances | Dane są szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft lub klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Szyfrowanie danych wdrożenia. |
| Azure Kubernetes Service | Dane są szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft lub klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Bring your own keys with Azure disks in Azure Kubernetes Service (Używanie własnych kluczy za pomocą dysków platformy Azure w usłudze Azure Kubernetes Service). |
| Wystąpienie obliczeniowe usługi Azure Machine Learning | Lokalny dysk tymczasowy jest szyfrowany, jeśli włączysz flagę hbi_workspace dla obszaru roboczego. |
| Klaster obliczeniowy usługi Azure Machine Edukacja | Dysk systemu operacyjnego jest szyfrowany w usłudze Azure Storage przy użyciu kluczy zarządzanych przez firmę Microsoft. Dysk tymczasowy jest szyfrowany, jeśli włączysz flagę hbi_workspace dla obszaru roboczego. |
| Compute | Szyfrowanie |
|---|---|
| Azure Kubernetes Service | Dane są szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft lub klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Bring your own keys with Azure disks in Azure Kubernetes Service (Używanie własnych kluczy za pomocą dysków platformy Azure w usłudze Azure Kubernetes Service). |
| Wystąpienie obliczeniowe usługi Azure Machine Learning | Lokalny dysk tymczasowy jest szyfrowany, jeśli włączysz flagę hbi_workspace dla obszaru roboczego. |
| Klaster obliczeniowy usługi Azure Machine Edukacja | Dysk systemu operacyjnego jest szyfrowany w usłudze Azure Storage przy użyciu kluczy zarządzanych przez firmę Microsoft. Dysk tymczasowy jest szyfrowany, jeśli włączysz flagę hbi_workspace dla obszaru roboczego. |
Klaster obliczeniowy
Klastry obliczeniowe mają lokalny magazyn dysków systemu operacyjnego i mogą instalować dane z kont magazynu w ramach subskrypcji podczas wykonywania zadania. Podczas instalowania danych z własnego konta magazynu w zadaniu możesz włączyć klucze zarządzane przez klienta na tych kontach magazynu na potrzeby szyfrowania.
Dysk systemu operacyjnego dla każdego węzła obliczeniowego przechowywanego w usłudze Azure Storage jest zawsze szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft w usłudze Azure Machine Edukacja kontach magazynu, a nie przy użyciu kluczy zarządzanych przez klienta. Ten docelowy obiekt obliczeniowy jest efemeryczny, więc dane przechowywane na dysku systemu operacyjnego są usuwane po skalowaniu klastra w dół. Klastry zwykle są skalowane w dół, gdy żadne zadania nie są kolejkowane, skalowanie automatyczne jest włączone, a minimalna liczba węzłów jest ustawiona na zero. Podstawowa maszyna wirtualna zostanie anulowana, a dysk systemu operacyjnego zostanie usunięty.
Usługa Azure Disk Encryption nie jest obsługiwana dla dysku systemu operacyjnego. Każda maszyna wirtualna ma również lokalny dysk tymczasowy dla operacji systemu operacyjnego. Jeśli chcesz, możesz użyć dysku do przygotowania danych treningowych. Jeśli utworzysz obszar roboczy z parametrem ustawionym hbi_workspace na TRUEwartość , dysk tymczasowy zostanie zaszyfrowany. To środowisko jest krótkotrwałe (tylko podczas zadania), a obsługa szyfrowania jest ograniczona tylko do kluczy zarządzanych przez system.
Wystąpienie obliczeniowe
Dysk systemu operacyjnego dla wystąpienia obliczeniowego jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft w usłudze Azure Machine Edukacja kontach magazynu. Jeśli utworzysz obszar roboczy z ustawionym TRUEparametrem hbi_workspace na wartość , lokalny dysk tymczasowy w wystąpieniu obliczeniowym zostanie zaszyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Szyfrowanie kluczy zarządzanych przez klienta nie jest obsługiwane w przypadku dysków tymczasowych i systemu operacyjnego.
flaga hbi_workspace
Flagę hbi_workspace można ustawić tylko podczas tworzenia obszaru roboczego. Nie można go zmienić dla istniejącego obszaru roboczego.
Po ustawieniu tej flagi na TRUEwartość może zwiększyć trudności z rozwiązywaniem problemów, ponieważ mniej danych telemetrycznych jest wysyłanych do firmy Microsoft. Mniej wglądu w współczynniki powodzenia lub typy problemów. Firma Microsoft może nie być w stanie aktywnie reagować, gdy ta flaga to TRUE.
Aby włączyć flagę hbi_workspace podczas tworzenia obszaru roboczego usługi Azure Machine Edukacja, wykonaj kroki opisane w jednym z następujących artykułów:
- Tworzenie obszaru roboczego i zarządzanie nim przy użyciu witryny Azure Portal lub zestawu SDK języka Python
- Tworzenie obszaru roboczego i zarządzanie nim przy użyciu interfejsu wiersza polecenia platformy Azure
- Tworzenie obszaru roboczego przy użyciu narzędzia HashiCorp Terraform
- Tworzenie obszaru roboczego przy użyciu szablonów usługi Azure Resource Manager