Администрирование данных
Узнайте, как управлять доступом к данным и как проходить проверку подлинности в Машинное обучение Azure.
ОБЛАСТЬ ПРИМЕНЕНИЯ:
Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)
Внимание
Эта статья предназначена для администраторов Azure, которые хотят создать необходимую инфраструктуру для решения Машинное обучение Azure.
Проверка подлинности данных на основе учетных данных
Как правило, проверка подлинности данных на основе учетных данных включает следующие проверка:
Был ли пользователь, который получает доступ к данным из хранилища данных на основе учетных данных, был назначен роль с помощью управления доступом на основе ролей (RBAC), который содержит
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?- Это разрешение требуется для получения учетных данных из хранилища данных для пользователя.
- Встроенные роли, содержащие это разрешение, уже являются участником, разработчиком ИИ Azure или Машинное обучение Azure Специалист по обработке и анализу данных. Кроме того, если настраиваемая роль применяется, необходимо убедиться, что это разрешение добавляется в эту пользовательскую роль.
- Необходимо знать , какой конкретный пользователь пытается получить доступ к данным. Это может быть реальный пользователь с удостоверением пользователя или компьютером с управляемым удостоверением вычислений (MSI). См. раздел "Сценарии и параметры проверки подлинности", чтобы определить удостоверение, для которого необходимо добавить разрешение.
Имеют ли сохраненные учетные данные (субъект-служба, ключ учетной записи или маркер подписанного URL-адреса) к ресурсу данных?
Проверка подлинности данных на основе удостоверений
Как правило, проверка подлинности данных на основе удостоверений включает следующие проверка:
- Какой пользователь хочет получить доступ к ресурсам?
- В зависимости от контекста при доступе к данным доступны различные типы проверки подлинности, например:
- Удостоверение пользователя
- Управляемое удостоверение вычислений
- Управляемое удостоверение рабочей области
- Задания, включая параметр набора
Generate Profileданных, запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Управляемое удостоверение вычислений должно иметь разрешение на ресурс хранилища, а не удостоверение пользователя, отправившего задание. - Для проверки подлинности на основе удостоверения пользователя необходимо знать , какой конкретный пользователь пытался получить доступ к ресурсу хранилища. Дополнительные сведения о проверке подлинности пользователей см. в разделе "Проверка подлинности для Машинное обучение Azure". Дополнительные сведения о проверке подлинности на уровне службы см. в разделе "Проверка подлинности между Машинное обучение Azure и другими службами".
- В зависимости от контекста при доступе к данным доступны различные типы проверки подлинности, например:
- Имеет ли этот пользователь разрешение на чтение?
- Имеет ли удостоверение пользователя или управляемое удостоверение вычислений необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью Azure RBAC.
- Читатель учетной записи хранения считывает метаданные хранилища.
- Средство чтения данных BLOB-объектов служба хранилища считывает и перечисляет контейнеры хранилища и большие двоичные объекты.
- Дополнительные сведения см. в статье о встроенных ролях Azure для хранилища.
- Имеет ли этот пользователь разрешение на запись?
- Имеет ли удостоверение пользователя или управляемое удостоверение вычислений необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью Azure RBAC.
- Читатель учетной записи хранения считывает метаданные хранилища.
- Участник данных BLOB-объектов служба хранилища считывает, записывает и удаляет контейнеры и большие двоичные объекты служба хранилища Azure.
- Дополнительные сведения см. в статье о встроенных ролях Azure для хранилища.
Другие общие проверка для проверки подлинности
- Откуда исходит доступ?
- Пользователь: IP-адрес клиента находится в диапазоне виртуальной сети или подсети?
- Рабочая область: является ли рабочая область общедоступной или имеет ли она частную конечную точку в виртуальной сети или подсети?
- служба хранилища. Разрешает ли хранилище общедоступный доступ или ограничивает ли он доступ через конечную точку службы или частную конечную точку?
- Какая операция будет выполнена?
- Машинное обучение Azure обрабатывает операции создания, чтения, обновления и удаления (CRUD) в хранилище данных или наборе данных.
- Для архивных операций с ресурсами данных в Студия машинного обучения Azure требуется эта операция RBAC:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete - Вызовы доступа к данным (например, предварительная версия или схема) отправляются в базовое хранилище и требуют дополнительных разрешений.
- Будет ли эта операция выполняться в вычислительных ресурсах или ресурсах подписки Azure, размещенных в подписке Майкрософт?
- Все вызовы набора данных и служб хранилища данных (кроме
Generate Profileпараметра) используют ресурсы, размещенные в подписке Майкрософт, для выполнения операций. - Задания, включая параметр набора
Generate Profileданных, запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Удостоверение вычислений должно иметь разрешение на ресурс хранилища, а не удостоверение пользователя, отправившего задание.
- Все вызовы набора данных и служб хранилища данных (кроме
На этой схеме показан общий поток вызова доступа к данным. Здесь пользователь пытается выполнить вызов доступа к данным через рабочую область Машинное обучение без использования вычислительного ресурса.
Сценарии и параметры проверки подлинности
В этой таблице перечислены удостоверения, используемые для определенных сценариев.
| Настройка | Локальная или записная книжка SDK для виртуальной машины | Работа | Предварительный просмотр набора данных | Обзор хранилища данных |
|---|---|---|---|---|
| Учетные данные + MSI рабочей области | Подтверждение компетенции | Подтверждение компетенции | Рабочая область Управляемого удостоверения службы | Учетные данные (только ключ учетной записи и маркер подписанного URL-адреса) |
| Нет учетных данных и MSI рабочей области | Удостоверение вычислений MSI или пользователя | Удостоверение вычислений MSI или пользователя | Рабочая область Управляемого удостоверения службы | Удостоверение пользователя |
| Credential + No Workspace MSI | Подтверждение компетенции | Подтверждение компетенции | Учетные данные (не поддерживаются для предварительной версии набора данных в частной сети) | Учетные данные (только ключ учетной записи и маркер подписанного URL-адреса) |
| Нет учетных данных и нет MSI рабочей области | Удостоверение вычислений MSI или пользователя | Удостоверение вычислений MSI или пользователя | Удостоверение пользователя | Удостоверение пользователя |
Для пакета SDK версии 1 проверка подлинности данных в задании всегда использует вычислительный MSI. Для пакета SDK версии 2 проверка подлинности данных в задании зависит от параметра задания. Это может быть удостоверение пользователя или msi вычислений на основе вашего параметра.
Совет
Для доступа к данным извне Машинное обучение, например с служба хранилища Azure Обозреватель, доступ, вероятно, зависит от удостоверения пользователя. Дополнительные сведения см. в документации по инструменту или службе, которую вы используете. Дополнительные сведения о том, как Машинное обучение работает с данными, см. в статье Настройка проверки подлинности между Машинное обучение Azure и другими службами.
Требования к виртуальной сети
Следующие сведения помогают настроить проверку подлинности данных для доступа к данным за виртуальной сетью из рабочей области Машинное обучение.
Добавление разрешений учетной записи хранения в управляемое удостоверение рабочей области Машинное обучение
При использовании учетной записи хранения из студии, если вы хотите просмотреть предварительную версию набора данных, необходимо включить управляемое удостоверение рабочей области для предварительного просмотра и профилирования данных в Студия машинного обучения Azure в параметре хранилища данных. Затем добавьте следующие роли Azure RBAC учетной записи хранения в управляемое удостоверение рабочей области:
- Средство чтения данных BLOB-объектов
- Если учетная запись хранения использует частную конечную точку для подключения к виртуальной сети, необходимо предоставить роль читателя для частной конечной точки учетной записи хранения управляемому удостоверению.
Дополнительные сведения см. в статье Использование Студии машинного обучения Azure в виртуальной сети Azure.
В следующих разделах описываются ограничения использования учетной записи хранения с рабочей областью в виртуальной сети.
Безопасное взаимодействие с учетной записью хранения
Чтобы защитить обмен данными между Машинное обучение и учетными записями хранения, настройте хранилище для предоставления доступа к доверенным службам Azure.
Брандмауэр хранилища Azure
Если учетная запись хранения находится за виртуальной сетью, брандмауэр хранилища обычно может использоваться для прямого подключения клиента через Интернет. Однако при использовании студии клиент не подключается к учетной записи хранения. Служба Машинное обучение, которая выполняет запрос, подключается к учетной записи хранения. IP-адрес службы не задокументирован и часто изменяется. Включение брандмауэра хранилища не позволит студии получить доступ к учетной записи хранения в конфигурации виртуальной сети.
Конечная точка службы хранилища Azure
Если рабочая область использует частную конечную точку, а учетная запись хранения также находится в виртуальной сети, при использовании студии возникают дополнительные требования к проверке:
- Если учетная запись хранения использует конечную точку службы, частная конечная точка рабочей области и конечная точка службы хранилища должны находиться в той же подсети виртуальной сети.
- Если учетная запись хранения использует частную конечную точку, частная конечная точка рабочей области и частная конечная точка хранилища должны находиться в той же виртуальной сети. При этом они могут находиться в разных подсетях.
Хранилище Azure Data Lake Storage 1-го поколения
При использовании Azure Data Lake Storage 1-го поколения в качестве хранилища данных можно использовать только списки управления доступом в стиле POSIX. Вы можете назначить управляемому удостоверению рабочей области доступ к ресурсам, как и любой другой субъект безопасности. Дополнительные сведения см. в статье Контроль доступа в Azure Data Lake Storage 1-го поколения.
Azure Data Lake Storage 2-го поколения
При использовании Azure Data Lake Storage 2-го поколения в качестве хранилища данных можно использовать списки управления доступом в стиле Azure RBAC и POSIX для управления доступом к данным в виртуальной сети.
- Чтобы использовать Azure RBAC: выполните действия, описанные в хранилище данных: служба хранилища Azure учетная запись. Data Lake Storage 2-го поколения основан на служба хранилища Azure, поэтому те же действия применяются при использовании Azure RBAC.
- Чтобы использовать списки управления доступом: управляемое удостоверение рабочей области может быть назначено таким же, как и любой другой субъект безопасности. Дополнительные сведения см. в разделе Списки управления доступом для файлов и каталогов.
Следующие шаги
Сведения о том, как включить студию в сети, см. в статье "Использование Студия машинного обучения Azure в виртуальной сети Azure".