Администрирование данных

  • Статья

Сведения о том, как управлять доступом к данным и выполнять проверку подлинности в Машинном обучении Azure

ОБЛАСТЬ ПРИМЕНЕНИЯ:Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)

Внимание

Эта статья предназначена для администраторов Azure, которые хотят создать необходимую инфраструктуру для решения Машинное обучение Azure.

Проверка подлинности данных на основе учетных данных

Как правило, проверка подлинности данных на основе учетных данных включает следующие проверка:

  • Назначается ли пользователю, который обращается к данным из хранилища данных на основе учетных данных, роль RBAC, содержащая Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?

    • Это разрешение требуется для получения учетных данных из хранилища данных от имени пользователя.
    • Встроенные роли, содержащие это разрешение, уже являются участником, разработчиком ИИ Azure или ролями Специалист по обработке и анализу данных AML. Кроме того, если применяется пользовательская роль, необходимо убедиться, что это разрешение добавляется в эту пользовательскую роль.
    • Необходимо знать , какой конкретный пользователь пытается получить доступ к данным. Это может быть реальный пользователь с удостоверением пользователя или вычислением с помощью MSI вычислений и т. д., вы можете проверка раздела "Сценарии и параметры проверки подлинности", чтобы определить, для чего требуется добавить разрешение.

  • Имеют ли сохраненные учетные данные (субъект-служба, ключ учетной записи или маркер sas) доступ к ресурсу данных?

Проверка подлинности данных на основе удостоверений

Как правило, проверка подлинности данных на основе удостоверений включает следующие проверка:

  • Какой пользователь хочет получить доступ к ресурсам?
    • В зависимости от конекста при доступе к данным доступны различные типы проверки подлинности, например
      • удостоверение пользователя
      • управляемое удостоверение вычислений
      • Управляемое удостоверение рабочей области
    • Задания, включая параметр "Создать профиль", запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Управляемое удостоверение вычислений должно иметь разрешение на ресурс хранилища, а не удостоверение пользователя, отправившего задание.
    • Для проверки подлинности на основе удостоверения пользователя необходимо знать , какой конкретный пользователь пытался получить доступ к ресурсу хранилища. Дополнительные сведения о проверке подлинности пользователей см. в Машинное обучение Azure. Дополнительные сведения о проверке подлинности на уровне службы см. в разделе проверки подлинности между Машинное обучение Azure и другими службами.
  • Имеет ли этот пользователь разрешение на чтение?
    • Имеют ли удостоверение пользователя или управляемое удостоверение вычислений и т. д. необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью управления доступом на основе ролей Azure (Azure RBAC).
    • Читатель учетной записи хранения считывает метаданные хранилища.
    • Средство чтения данных BLOB-объектов служба хранилища считывает и перечисляет контейнеры хранилища BLOB-объектов и большие двоичные объекты.
    • Дополнительные встроенные роли Azure см. здесь.
  • Имеет ли этот пользователь разрешение на запись?
    • Имеют ли удостоверение пользователя или управляемое удостоверение вычислений и т. д. необходимые разрешения для этого ресурса хранилища? Разрешения предоставляются с помощью управления доступом на основе ролей Azure (Azure RBAC).
    • Читатель учетной записи хранения считывает метаданные хранилища.
    • Участник данных BLOB-объектов служба хранилища считывает, записывает и удаляет контейнеры и большие двоичные объекты служба хранилища Azure.
    • Дополнительные встроенные роли Azure см. здесь.

Другие общие проверка для проверки подлинности

  • Откуда исходит доступ?
    • Пользователь: находится ли IP-адрес клиента в диапазоне виртуальной сети/подсети?
    • Рабочая область: является ли рабочая область общедоступной или имеет ли она частную конечную точку в виртуальной сети или подсети?
    • Хранилище: обеспечивает ли хранилище открытый доступ или ограничивает его через конечную точку службы или частную конечную точку?
  • Какая операция будет выполнена?
    • Машинное обучение Azure обрабатывает операции создания, чтения, обновления и удаления (CRUD) в хранилище данных или наборе данных.
    • Для архивных операций с ресурсами данных в студии требуется эта операция RBAC: Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
    • Вызовы доступа к данным (например, предварительная версия или схема) отправляются в базовое хранилище и требуют дополнительных разрешений.
  • Будет ли эта операция выполняться в вычислительных ресурсах подписки Azure или ресурсах, размещенных в подписке Майкрософт?
    • Все вызовы к наборам данных и службам хранилища данных (за исключением параметра "Создать профиль") используют ресурсы, размещенные в подписке Майкрософт, для выполнения операций.
    • Задания, включая параметр "Создать профиль", запустите вычислительный ресурс в подписке и получите доступ к данным из этого расположения. Удостоверение вычислений должно иметь разрешение на ресурс хранилища, а не удостоверение пользователя, отправившего задание.

На этой схеме показан общий поток вызова доступа к данным. Здесь пользователь пытается вызвать доступ к данным через рабочую область машинного обучения без использования вычислительного ресурса.

Схема: логический поток при обращении к данным.

Сценарии и параметры проверки подлинности

В этой таблице перечислены удостоверения, используемые для определенных сценариев:

Настройка Локальная виртуальная машина пакета SDK или записная книжка Работа Предварительный просмотр набора данных Обзор хранилища данных
Учетные данные + MSI рабочей области Подтверждение компетенции Подтверждение компетенции Рабочая область Управляемого удостоверения службы Учетные данные (только ключ учетной записи и маркер SAS)
Нет учетных данных и MSI рабочей области Вычисление MSI/удостоверение пользователя Удостоверение вычислений MSI или пользователя Рабочая область Управляемого удостоверения службы Удостоверение пользователя
Credential + No Workspace MSI Подтверждение компетенции Подтверждение компетенции Учетные данные(Не поддерживается для предварительной версии набора данных в частной сети) Учетные данные (только ключ учетной записи и маркер SAS)
Нет учетных данных и нет MSI рабочей области Вычисление MSI/удостоверение пользователя Удостоверение вычислений MSI или пользователя Удостоверение пользователя Удостоверение пользователя

Для пакета SDK версии 1 проверка подлинности данных в задании всегда использует вычислительный MSI. А для пакета SDK версии 2 проверка подлинности данных в задании зависит от параметра задания: может быть удостоверение пользователя или вычисление MSI на основе параметра.

Совет

Для доступа к данным извне Машинное обучение Azure, например с служба хранилища Azure Обозреватель, доступ, вероятно, зависит от удостоверения пользователя. Дополнительные сведения см. в документации по инструменту или службе, которую вы используете. Дополнительные сведения о том, как Машинное обучение Azure работает с данными, см. в разделе "Настройка проверки подлинности между Машинное обучение Azure и другими службами".

Требования к виртуальной сети

Ниже показано, как настроить проверку подлинности данных для доступа к данным за виртуальной сетью из рабочей области Машинное обучение Azure.

Добавление разрешений учетной записи служба хранилища Azure для управляемого удостоверения рабочей области Машинное обучение Azure

При использовании учетной записи служба хранилища Azure из Студия машинного обучения Azure, если вы хотите просмотреть предварительную версию набора данных, необходимо включить функцию "Использовать управляемое удостоверение рабочей области для предварительного просмотра и профилирования данных в Студия машинного обучения Azure" в параметре хранилища данных и добавьте эти роли Azure RBAC учетной записи хранения в управляемое удостоверение рабочей области:

  • Средство чтения данных BLOB-объектов
  • Если учетная запись хранения использует частную конечную точку для подключения к виртуальной сети, необходимо предоставить роль читателя для частной конечной точки учетной записи хранения управляемому удостоверению.

Дополнительные сведения см. в статье Использование Студии машинного обучения Azure в виртуальной сети Azure.

В следующих разделах описываются ограничения использования учетной записи служба хранилища Azure с рабочей областью в виртуальной сети.

Безопасная связь с учетной записью служба хранения Azure

Чтобы защитить обмен данными между Машинное обучение Azure и учетными записями служба хранилища Azure, настройте хранилище для предоставления доступа к доверенным службам Azure.

Брандмауэр хранилища Azure

Если учетная запись служба хранилища Azure находится за виртуальной сетью, брандмауэр хранилища обычно может использоваться для прямого подключения клиента через Интернет. Однако при использовании студии клиент не подключается к учетной записи хранения. Служба Машинное обучение Azure, которая выполняет запрос, подключается к учетной записи хранения. IP-адрес службы не задокументирован и часто изменяется. Включение брандмауэра хранилища не позволит Студии получить доступ к учетной записи хранения в конфигурации виртуальной сети.

Конечная точка службы хранилища Azure

Если рабочая область использует частную конечную точку, а учетная запись хранения также находится в виртуальной сети, при использовании студии возникают дополнительные требования к проверке:

  • Если учетная запись хранения использует конечную точку службы, то частная конечная точка рабочей области и конечная точка службы хранилища должна находиться в той же подсети виртуальной сети.
  • Если учетная запись хранения использует частную конечную точку, частная конечная точка рабочей области и частная конечная точка хранилища должны находиться в той же виртуальной сети. При этом они могут находиться в разных подсетях.

Хранилище Azure Data Lake Storage 1-го поколения

При использовании Azure Data Lake Storage 1-го поколения в качестве хранилища данных можно использовать только списки управления доступом в стиле POSIX. Вы можете назначить управляемому удостоверению рабочей области доступ к ресурсам так же, как и любой другой субъект безопасности. Дополнительные сведения см. в статье Контроль доступа в Azure Data Lake Storage 1-го поколения.

Azure Data Lake Storage 2-го поколения

При использовании Azure Data Lake Storage 2-го поколения в качестве хранилища данных можно использовать как Azure RBAC, так и списки управления доступом (ACL) в стиле POSIX для управления доступом к данным в виртуальной сети.

Чтобы использовать Azure RBAC, выполните действия, описанные в этом хранилище данных: служба хранилища Azure разделе "Учетная запись". Data Lake Storage 2-го поколения основан на службе хранилища Azure, поэтому при использовании Azure RBAC необходимо выполнить аналогичные действия.

Для использования списков управления доступом можно назначить удостоверению, управляемому рабочей областью, доступ, как и любому другому субъекту безопасности. Дополнительные сведения см. в разделе Списки управления доступом для файлов и каталогов.

Следующие шаги

Сведения о включении студии в сети см. в статье "Использование Студия машинного обучения Azure в azure виртуальная сеть".