Administrowanie danymi
Dowiedz się, jak zarządzać dostępem do danych i jak uwierzytelniać się w usłudze Azure Machine Edukacja
DOTYCZY:
Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)
Ważne
Ten artykuł jest przeznaczony dla administratorów platformy Azure, którzy chcą utworzyć wymaganą infrastrukturę dla rozwiązania usługi Azure Machine Edukacja.
Uwierzytelnianie danych oparte na poświadczeniach
Ogólnie rzecz biorąc, uwierzytelnianie danych opartych na poświadczeniach obejmuje następujące kontrole:
Czy użytkownik, który uzyskuje dostęp do danych z magazynu danych opartego na poświadczeniach, ma przypisaną rolę RBAC zawierającą
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?- To uprawnienie jest wymagane do pobierania poświadczeń z magazynu danych w imieniu użytkownika.
- Wbudowane role, które zawierają to uprawnienie, są już współautorem, deweloperem sztucznej inteligencji platformy Azure lub rolami badacze dancyh AML. Alternatywnie, jeśli jest stosowana rola niestandardowa, musimy upewnić się, że to uprawnienie zostanie dodane do tej roli niestandardowej.
- Musisz wiedzieć , który konkretny użytkownik próbuje uzyskać dostęp do danych. Może to być rzeczywisty użytkownik z tożsamością użytkownika lub obliczeniami z obliczeniową tożsamością usługi zarządzanej itp., możesz sprawdzić sekcję Scenariusze i opcje uwierzytelniania, aby zidentyfikować tożsamość, dla której chcesz dodać uprawnienia.
Czy przechowywane poświadczenia (jednostka usługi, klucz konta lub token sas) mają dostęp do zasobu danych?
Uwierzytelnianie danych oparte na tożsamościach
Ogólnie rzecz biorąc, uwierzytelnianie danych oparte na tożsamości obejmuje następujące kontrole:
- Który użytkownik chce uzyskać dostęp do zasobów?
- W zależności od sposobu uzyskiwania dostępu do danych dostępne są różne typy uwierzytelniania, na przykład
- tożsamość użytkownika
- tożsamość zarządzana usługi compute
- tożsamość zarządzana obszaru roboczego
- Zadania, w tym opcja "Generuj profil" zestawu danych, są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość zarządzana obliczeniowa wymaga uprawnień do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie.
- W przypadku uwierzytelniania na podstawie tożsamości użytkownika musisz wiedzieć , który konkretny użytkownik próbował uzyskać dostęp do zasobu magazynu. Aby uzyskać więcej informacji na temat uwierzytelniania użytkowników, zobacz uwierzytelnianie dla usługi Azure Machine Edukacja. Aby uzyskać więcej informacji na temat uwierzytelniania na poziomie usług, zobacz uwierzytelnianie między usługą Azure Machine Edukacja i innymi usługami.
- W zależności od sposobu uzyskiwania dostępu do danych dostępne są różne typy uwierzytelniania, na przykład
- Czy ten użytkownik ma uprawnienia do odczytu?
- Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa itp. ma niezbędne uprawnienia do tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).
- Czytelnik konta magazynu odczytuje metadane magazynu.
- Czytnik danych obiektu blob usługi Storage odczytuje i wyświetla listę kontenerów i obiektów blob usługi Blob Storage.
- Więcej wbudowanych ról platformy Azure dla magazynu można znaleźć tutaj.
- Czy ten użytkownik ma uprawnienia do pisania?
- Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa itp. ma niezbędne uprawnienia do tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).
- Czytelnik konta magazynu odczytuje metadane magazynu.
- Współautor danych obiektu blob usługi Storage odczytuje, zapisuje i usuwa kontenery i obiekty blob usługi Azure Storage.
- Więcej wbudowanych ról platformy Azure dla magazynu można znaleźć tutaj.
Inne ogólne kontrole uwierzytelniania
- Skąd pochodzi dostęp?
- Użytkownik: czy adres IP klienta znajduje się w zakresie sieci wirtualnej/podsieci?
- Obszar roboczy: czy obszar roboczy jest publiczny, czy ma prywatny punkt końcowy w sieci wirtualnej/podsieci?
- Magazyn: Czy magazyn zezwala na dostęp publiczny, czy ogranicza dostęp za pośrednictwem punktu końcowego usługi lub prywatnego punktu końcowego?
- Jaka operacja zostanie wykonana?
- Usługa Azure Machine Edukacja obsługuje operacje tworzenia, odczytu, aktualizacji i usuwania (CRUD) w magazynie danych/zestawie danych.
- Operacje archiwizowania zasobów danych w studio wymagają tej operacji kontroli dostępu opartej na rolach:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete - Wywołania dostępu do danych (na przykład wersja zapoznawcza lub schemat) przechodzą do magazynu źródłowego i wymagają dodatkowych uprawnień.
- Czy ta operacja zostanie uruchomiona w zasobach obliczeniowych subskrypcji platformy Azure lub zasobach hostowanych w ramach subskrypcji firmy Microsoft?
- Wszystkie wywołania usług zestawu danych i magazynu danych (z wyjątkiem opcji "Generuj profil") używają zasobów hostowanych w subskrypcji firmy Microsoft do uruchamiania operacji.
- Zadania, w tym opcja "Generuj profil" zestawu danych, są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość obliczeniowa wymaga uprawnień do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie.
Ten diagram przedstawia ogólny przepływ wywołania dostępu do danych. W tym miejscu użytkownik próbuje wykonać wywołanie dostępu do danych za pośrednictwem obszaru roboczego uczenia maszynowego bez użycia zasobu obliczeniowego.
Scenariusze i opcje uwierzytelniania
W tej tabeli wymieniono tożsamości do użycia w określonych scenariuszach:
| Konfigurowanie | Maszyna wirtualna lokalnego/notesu zestawu SDK | Zadanie | Podgląd zestawu danych | Przeglądanie magazynu danych |
|---|---|---|---|---|
| Poświadczenia i tożsamość usługi zarządzanej obszaru roboczego | Referencje | Referencje | Tożsamość usługi zarządzanej obszaru roboczego | Credential (Tylko klucz konta i token SAS) |
| Brak poświadczeń i tożsamości usługi zarządzanej obszaru roboczego | Obliczanie tożsamości usługi zarządzanej/użytkownika | Obliczanie tożsamości usługi zarządzanej/użytkownika | Tożsamość usługi zarządzanej obszaru roboczego | Tożsamość użytkownika |
| Poświadczenia i brak tożsamości usługi zarządzanej obszaru roboczego | Referencje | Referencje | Credential (Nieobsługiwane w wersji zapoznawczej zestawu danych w sieci prywatnej) | Credential (Tylko klucz konta i token SAS) |
| Brak poświadczeń i brak tożsamości usługi zarządzanej obszaru roboczego | Obliczanie tożsamości usługi zarządzanej/użytkownika | Obliczanie tożsamości usługi zarządzanej/użytkownika | Tożsamość użytkownika | Tożsamość użytkownika |
W przypadku zestawu SDK w wersji 1 uwierzytelnianie danych w zadaniu zawsze korzysta z obliczeniowej tożsamości usługi zarządzanej. A w przypadku zestawu SDK w wersji 2 uwierzytelnianie danych w zadaniu zależy od ustawienia zadania: może to być tożsamość użytkownika lub obliczanie tożsamości usługi zarządzanej na podstawie ustawienia.
Napiwek
Aby uzyskać dostęp do danych spoza usługi Azure Machine Edukacja, na przykład w przypadku Eksplorator usługi Azure Storage, dostęp ten prawdopodobnie opiera się na tożsamości użytkownika. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją dotyczącą używanego narzędzia lub usługi. Aby uzyskać więcej informacji na temat sposobu działania usługi Azure Machine Edukacja z danymi, zobacz Konfigurowanie uwierzytelniania między usługą Azure Machine Edukacja a innymi usługami.
Wymagania specyficzne dla sieci wirtualnej
Poniższe informacje ułatwią skonfigurowanie uwierzytelniania danych w celu uzyskania dostępu do danych za siecią wirtualną z poziomu obszaru roboczego usługi Azure Machine Edukacja.
Dodawanie uprawnień konta usługi Azure Storage do usługi Azure Machine Edukacja tożsamości zarządzanej obszaru roboczego
Jeśli używasz konta usługi Azure Storage z usługi Azure Machine Edukacja Studio, jeśli chcesz wyświetlić podgląd zestawu danych, musisz włączyć opcję "Użyj tożsamości zarządzanej obszaru roboczego na potrzeby podglądu danych i profilowania w usłudze Azure Machine Edukacja Studio" w ustawieniu magazynu danych i dodać te role RBAC platformy Azure konta magazynu do tożsamości zarządzanej obszaru roboczego:
- Czytnik danych obiektów blob
- Jeśli konto magazynu używa prywatnego punktu końcowego do nawiązania połączenia z siecią wirtualną, musisz przyznać rolę Czytelnik dla prywatnego punktu końcowego konta magazynu do tożsamości zarządzanej.
Aby uzyskać więcej informacji, zobacz Use Azure Machine Edukacja studio in an Azure Virtual Network (Korzystanie z usługi Azure Machine Edukacja Studio w usłudze Azure Virtual Network).
W poniższych sekcjach opisano ograniczenia korzystania z konta usługi Azure Storage w obszarze roboczym w sieci wirtualnej.
Bezpieczna komunikacja z kontem usługi Azure Storage
Aby zabezpieczyć komunikację między usługą Azure Machine Edukacja i kontami usługi Azure Storage, skonfiguruj magazyn w celu udzielenia dostępu do zaufanych usług platformy Azure.
Zapora usługi Azure Storage
Gdy konto usługi Azure Storage znajduje się za siecią wirtualną, zapora magazynu może być zwykle używana do umożliwienia klientowi bezpośredniego łączenia się z Internetem. Jednak w przypadku korzystania z programu Studio klient nie łączy się z kontem magazynu. Usługa Azure Machine Edukacja, która wysyła żądanie na połączenie z kontem magazynu. Adres IP usługi nie jest udokumentowany i często się zmienia. Włączenie zapory magazynu nie pozwoli programowi Studio na dostęp do konta magazynu w konfiguracji sieci wirtualnej.
Typ punktu końcowego usługi Azure Storage
Gdy obszar roboczy używa prywatnego punktu końcowego, a konto magazynu znajduje się również w sieci wirtualnej, podczas korzystania z programu Studio pojawiają się dodatkowe wymagania dotyczące walidacji:
- Jeśli konto magazynu używa punktu końcowego usługi, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej podsieci sieci wirtualnej.
- Jeśli konto magazynu używa prywatnego punktu końcowego , prywatny punkt końcowy obszaru roboczego i prywatny punkt końcowy magazynu muszą znajdować się w tej samej sieci wirtualnej. W takim przypadku mogą znajdować się w różnych podsieciach.
Usługa Azure Data Lake Storage 1. generacji
W przypadku korzystania z usługi Azure Data Lake Storage Gen1 jako magazynu danych można używać tylko list kontroli dostępu w stylu POSIX. Możesz przypisać dostęp tożsamości zarządzanej obszaru roboczego do zasobów, podobnie jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kontrola dostępu w usłudze Azure Data Lake Storage Gen1.
Azure Data Lake Storage Gen2
W przypadku korzystania z usługi Azure Data Lake Storage Gen2 jako magazynu danych można użyć zarówno kontroli dostępu opartej na rolach platformy Azure, jak i list kontroli dostępu w stylu POSIX w celu kontrolowania dostępu do danych wewnątrz sieci wirtualnej.
Aby użyć kontroli dostępu opartej na rolach platformy Azure, wykonaj kroki opisane w tym artykule Magazyn danych: konto usługi Azure Storage. Usługa Data Lake Storage Gen2 jest oparta na usłudze Azure Storage, dlatego te same kroki mają zastosowanie podczas korzystania z kontroli dostępu opartej na rolach platformy Azure.
Aby użyć list ACL, tożsamość zarządzana obszaru roboczego może być przypisana tak samo jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu dotyczące plików i katalogów.
Następne kroki
Aby uzyskać informacje na temat włączania programu Studio w sieci, zobacz Korzystanie z usługi Azure Machine Edukacja Studio w usłudze Azure Virtual Network.