Администрирование данных
Узнайте, как управлять доступом к данным и как проходить проверку подлинности в Машинное обучение Azure.
ОБЛАСТЬ ПРИМЕНЕНИЯ:Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)
Внимание
Эта статья предназначена для администраторов Azure, которые хотят создать необходимую инфраструктуру для решения Машинное обучение Azure.
Проверка подлинности данных на основе учетных данных
Как правило, проверка подлинности на основе учетных данных включает следующие проверки:
Убедитесь, что пользователь, обращающийся к данным из хранилища данных на основе учетных данных, имеет назначенную роль с помощью управления доступом на основе ролей (RBAC), который содержит
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action
Это разрешение требуется для получения учетных данных из хранилища данных для пользователя.
Встроенные роли, которые уже содержат это разрешение:
- Участник
- Разработчик ИИ Azure
- Машинное обучение Azure Специалист по обработке и анализу данных
- Кроме того, если применяется пользовательская роль, это разрешение необходимо добавить в эту пользовательскую роль.
Необходимо знать , какой конкретный пользователь хочет получить доступ к данным. Конкретный пользователь может быть реальным пользователем с удостоверением пользователя. Он также может быть компьютером с управляемым удостоверением вычислений (MSI). Дополнительные сведения см. в разделе "Сценарии" и "Параметры проверки подлинности", чтобы определить удостоверение, требующее добавленного разрешения.
Имеют ли сохраненные учетные данные (субъект-служба, ключ учетной записи или маркер подписанного URL-адреса) к ресурсу данных?
Проверка подлинности данных на основе удостоверений
Как правило, проверка подлинности данных на основе удостоверений включает следующие проверки:
- Кто из пользователей хочет получить доступ к ресурсам?
- Доступны различные типы проверки подлинности в зависимости от контекста во время доступа к данным. Например:
- Удостоверение пользователя
- Управляемое удостоверение вычислений
- Управляемое удостоверение рабочей области
- Задания, включая параметр набора
Generate Profile
данных, запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Управляемое удостоверение вычислений должно иметь разрешение на доступ к ресурсу хранилища, а не удостоверение пользователя, отправившего задание. - Для проверки подлинности на основе удостоверения пользователя необходимо знать , какой конкретный пользователь пытался получить доступ к ресурсу хранилища. Дополнительные сведения о проверке подлинности пользователей см. в разделе "Проверка подлинности для Машинное обучение Azure". Дополнительные сведения о проверке подлинности на уровне службы см. в разделе "Проверка подлинности между Машинное обучение Azure и другими службами".
- Доступны различные типы проверки подлинности в зависимости от контекста во время доступа к данным. Например:
- Имеет ли этот пользователь разрешение на чтение ресурса?
- Имеет ли удостоверение пользователя или управляемое удостоверение вычислений необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью Azure RBAC.
- Читатель учетной записи хранения считывает метаданные службы хранилища.
- Средство чтения данных BLOB-объектов хранилища считывает и перечисляет контейнеры хранилища и большие двоичные объекты.
- Средство чтения с привилегированными данными хранилища повторно перечисляет файлы и каталоги в общих папках Azure.
- Дополнительные сведения см . в встроенных ролях Azure для хранения.
- Имеет ли этот пользователь разрешение на запись для ресурса?
- Имеет ли удостоверение пользователя или управляемое удостоверение вычислений необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью Azure RBAC.
- Читатель учетной записи хранения считывает метаданные службы хранилища.
- Участник данных BLOB-объекта службы хранилища считывает, записывает и удаляет контейнеры и BLOB-объекты службы хранилища Azure.
- Участник привилегированных файлов хранилища считывает, записывает, удаляет и изменяет списки управления доступом в файлах и каталогах в общих папках Azure.
- Дополнительные сведения см . в встроенных ролях Azure для хранения.
Другие общие проверки подлинности
- Что именно будет получать доступ к ресурсу?
- Пользователь: IP-адрес клиента находится в диапазоне виртуальной сети или подсети?
- Рабочая область: является ли рабочая область общедоступной или имеет ли она частную конечную точку в виртуальной сети или подсети?
- Хранилище: разрешает ли хранилище общедоступный доступ или ограничивает ли он доступ через конечную точку службы или частную конечную точку?
- Что такое плановая операция?
- дескрипторы Машинное обучение Azure
- Создание
- Чтение
- Update
- Операции Delete (CRUD) в хранилище данных или наборе данных.
- Для архивных операций с ресурсами данных в Студия машинного обучения Azure требуется эта операция RBAC:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
- Вызовы доступа к данным (например, предварительная версия или схема) отправляются в базовое хранилище и требуют дополнительных разрешений.
- дескрипторы Машинное обучение Azure
- Будет ли эта операция выполняться в вычислительных ресурсах подписки Azure или ресурсах, размещенных в подписке Майкрософт?
- Все вызовы набора данных и служб хранилища данных (кроме
Generate Profile
параметра) используют ресурсы, размещенные в подписке Майкрософт, для выполнения операций. - Задания, включая параметр набора
Generate Profile
данных, запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Удостоверение вычислений должно иметь разрешение на ресурс хранилища, а не удостоверение пользователя, отправившего задание.
- Все вызовы набора данных и служб хранилища данных (кроме
На этой схеме показан общий поток вызова доступа к данным. Здесь пользователь пытается выполнить вызов доступа к данным через рабочую область Машинное обучение без использования вычислительного ресурса.
Сценарии и параметры проверки подлинности
В этой таблице перечислены удостоверения, используемые для определенных сценариев:
Настройка | Локальная или записная книжка SDK для виртуальной машины | Работа | Предварительный просмотр набора данных | Обзор хранилища данных |
---|---|---|---|---|
Учетные данные + MSI рабочей области | Подтверждение компетенции | Подтверждение компетенции | Рабочая область Управляемого удостоверения службы | Учетные данные (только ключ учетной записи и маркер подписанного URL-адреса) |
Нет учетных данных и MSI рабочей области | Удостоверение вычислений MSI или пользователя | Удостоверение вычислений MSI или пользователя | Рабочая область Управляемого удостоверения службы | Удостоверение пользователя |
Credential + No Workspace MSI | Подтверждение компетенции | Подтверждение компетенции | Учетные данные (не поддерживаются для предварительной версии набора данных в частной сети) | Учетные данные (только ключ учетной записи и маркер подписанного URL-адреса) |
Нет учетных данных и нет MSI рабочей области | Удостоверение вычислений MSI или пользователя | Удостоверение вычислений MSI или пользователя | Удостоверение пользователя | Удостоверение пользователя |
Для пакета SDK версии 1 проверка подлинности данных в задании всегда использует вычислительный MSI. Для пакета SDK версии 2 проверка подлинности данных в задании зависит от параметра задания. Это может быть удостоверение пользователя или вычисление MSI на основе этого параметра задания.
Совет
Для доступа к данным извне Машинное обучение ( например, с помощью обозревателя служба хранилища Azure доступ, вероятно, зависит от удостоверения пользователя. Дополнительные сведения см. в документации по инструменту или службе, которую вы планируете использовать. Дополнительные сведения о том, как Машинное обучение работает с данными, см. в статье "Настройка проверки подлинности между Машинное обучение Azure и другими службами".
Требования к виртуальной сети
Эта информация помогает настроить проверку подлинности данных из рабочей области Машинное обучение для доступа к данным за виртуальной сетью.
Добавление разрешений учетной записи хранения в управляемое удостоверение рабочей области Машинное обучение
При использовании учетной записи хранения из студии, если вы хотите просмотреть предварительную версию набора данных, необходимо включить управляемое удостоверение рабочей области для предварительного просмотра и профилирования данных в Студия машинного обучения Azure в параметре хранилища данных. Затем добавьте эти роли учетной записи хранения Azure RBAC в управляемое удостоверение рабочей области:
- Средство чтения данных BLOB-объектов
- Если учетная запись хранения использует частную конечную точку для подключения к виртуальной сети, необходимо предоставить роль читателя для частной конечной точки учетной записи хранения управляемому удостоверению.
Дополнительные сведения см. в статье "Использование Студия машинного обучения Azure в виртуальной сети Azure".
В этих разделах описываются ограничения использования учетной записи хранения с рабочей областью в виртуальной сети.
Безопасное взаимодействие с учетной записью хранения
Чтобы защитить обмен данными между Машинное обучение и учетными записями хранения, настройте хранилище для предоставления доступа к доверенным службам Azure.
Брандмауэр хранилища Azure
Для учетной записи хранения, расположенной за виртуальной сетью, брандмауэр хранилища обычно позволяет клиенту напрямую подключаться через Интернет. Однако при использовании студии клиент не подключается к учетной записи хранения. Служба Машинное обучение, которая выполняет запрос, подключается к учетной записи хранения. IP-адрес службы не задокументирован и часто изменяется. Включение брандмауэра хранилища не позволяет студии получать доступ к учетной записи хранения в конфигурации виртуальной сети.
Конечная точка службы хранилища Azure
Если рабочая область использует частную конечную точку, а учетная запись хранения также находится в виртуальной сети, при использовании студии возникают дополнительные требования к проверке.
- Если учетная запись хранения использует конечную точку службы, частная конечная точка рабочей области и конечная точка службы хранилища должны находиться в той же подсети виртуальной сети.
- Если учетная запись хранения использует частную конечную точку, частная конечная точка рабочей области и частная конечная точка хранилища должны находиться в той же виртуальной сети. При этом они могут находиться в разных подсетях.
Хранилище Azure Data Lake Storage 1-го поколения
При использовании Azure Data Lake Storage 1-го поколения в качестве хранилища данных можно использовать только списки управления доступом в стиле POSIX. Вы можете назначить управляемому удостоверению рабочей области доступ к ресурсам, как и любой другой субъект безопасности. Дополнительные сведения см. в статье "Управление доступом" в Azure Data Lake Storage 1-го поколения.
Azure Data Lake Storage 2-го поколения
При использовании Azure Data Lake Storage 2-го поколения в качестве хранилища данных можно использовать списки управления доступом в стиле Azure RBAC и POSIX для управления доступом к данным в виртуальной сети.
- Чтобы использовать Azure RBAC: выполните действия, описанные в хранилище данных: служба хранилища Azure учетная запись. Data Lake Storage 2-го поколения основан на служба хранилища Azure, поэтому те же действия применяются при использовании Azure RBAC.
- Чтобы использовать списки управления доступом: управляемое удостоверение рабочей области может быть назначено таким же, как и любой другой субъект безопасности. Дополнительные сведения см . в списках управления доступом в файлах и каталогах.
Следующие шаги
Сведения о том, как включить студию в сети, см. в статье "Использование Студия машинного обучения Azure в виртуальной сети Azure".