Använda kundhanterade nycklar med Azure Machine Learning
I artikeln begrepp för kundhanterade nycklar har du lärt dig om de krypteringsfunktioner som Azure Machine Learning tillhandahåller. Lär dig nu hur du använder kundhanterade nycklar med Azure Machine Learning.
Azure Machine Learning förlitar sig på följande tjänster som använder kundhanterade nycklar:
| Tjänst | Vad det används för |
|---|---|
| Azure Cosmos DB | Lagrar metadata för Azure Machine Learning |
| Azure AI-sökning | Lagrar arbetsytemetadata för Azure Machine Learning |
| Azure Storage | Lagrar arbetsytemetadata för Azure Machine Learning |
| Azure Kubernetes Service | Är värd för tränade modeller som slutpunkter för slutsatsdragning |
Du använder samma nyckel för att skydda Azure Cosmos DB, Azure AI Search och Azure Storage. Du kan använda en annan nyckel för Azure Kubernetes Service.
När du använder en kundhanterad nyckel med Azure Cosmos DB, Azure AI Search och Azure Storage tillhandahålls nyckeln när du skapar din arbetsyta. Nyckeln som du använder med Azure Kubernetes Service tillhandahålls när du konfigurerar resursen.
| Tjänst | Vad det används för |
|---|---|
| Azure Cosmos DB | Lagrar metadata för Azure Machine Learning |
| Azure AI-sökning | Lagrar arbetsytemetadata för Azure Machine Learning |
| Azure Storage | Lagrar arbetsytemetadata för Azure Machine Learning |
| Azure Kubernetes Service | Är värd för tränade modeller som slutpunkter för slutsatsdragning |
| Azure Container Instances | Är värd för tränade modeller som slutpunkter för slutsatsdragning |
Du använder samma nyckel för att skydda Azure Cosmos DB, Azure AI Search och Azure Storage. Du kan använda en annan nyckel för Azure Kubernetes Service och Azure Container Instances.
När du använder en kundhanterad nyckel med Azure Cosmos DB, Azure AI Search och Azure Storage tillhandahålls nyckeln när du skapar din arbetsyta. De nycklar som du använder med Azure Container Instances och Azure Kubernetes Service tillhandahålls när du konfigurerar dessa resurser.
Förutsättningar
En Azure-prenumeration.
Följande Azure-resursproviders måste registreras:
Resursprovider Varför det behövs Microsoft.MachineLearningServices Skapa Azure Machine Learning-arbetsytan. Microsoft.Storage Lagringskontot används som standardlagring för arbetsytan. Microsoft.KeyVault Azure Key Vault används av arbetsytan för att lagra hemligheter. Microsoft.DocumentDB Azure Cosmos DB-instans som loggar metadata för arbetsytan. Microsoft.Search Azure AI Search tillhandahåller indexeringsfunktioner för arbetsytan. Information om hur du registrerar resursprovidrar finns i Lösa fel för registrering av resursprovider.
Begränsningar
- När arbetsytan har skapats kan den kundhanterade krypteringsnyckeln för resurser som arbetsytan är beroende av bara uppdateras till en annan nyckel i den ursprungliga Azure Key Vault-resursen.
- Resurser som hanteras av Microsoft i din prenumeration kan inte överföra ägarskapet till dig.
- Du kan inte ta bort Microsoft-hanterade resurser som används för kundhanterade nycklar utan att även ta bort arbetsytan.
- Nyckelvalvet som innehåller din kundhanterade nyckel måste finnas i samma Azure-prenumeration som Azure Machine Learning-arbetsytan.
- OS-disken för maskininlärningsberäkning kan inte krypteras med kundhanterad nyckel, men kan krypteras med Microsoft-hanterad nyckel om arbetsytan skapas med
hbi_workspaceparametern inställd påTRUE. Mer information finns i Datakryptering.
Viktigt!
När du använder en kundhanterad nyckel blir kostnaderna för din prenumeration högre på grund av de ytterligare resurserna i din prenumeration. Om du vill beräkna kostnaden använder du Priskalkylatorn för Azure.
Skapa Azure Key Vault
Information om hur du skapar nyckelvalvet finns i Skapa ett nyckelvalv. När du skapar Azure Key Vault måste du aktivera skydd för mjuk borttagning och rensning.
Viktigt!
Nyckelvalvet måste finnas i samma Azure-prenumeration som ska innehålla din Azure Machine Learning-arbetsyta.
Skapa en nyckel
Dricks
Om du har problem med att skapa nyckeln kan det bero på rollbaserade åtkomstkontroller i Azure som har tillämpats i din prenumeration. Kontrollera att säkerhetsobjektet (användare, hanterad identitet, tjänstens huvudnamn osv.) som du använder för att skapa nyckeln har tilldelats rollen Deltagare för key vault-instansen. Du måste också konfigurera en åtkomstprincip i nyckelvalvet som beviljar auktorisering för säkerhetsobjektet Skapa, Hämta, Ta bort och Rensa .
Om du planerar att använda en användartilldelad hanterad identitet för din arbetsyta måste den hanterade identiteten också tilldelas dessa roller och åtkomstprinciper.
Mer information finns i följande artiklar:
I Azure-portalen väljer du key vault-instansen. Välj sedan Nycklar till vänster.
Välj + Generera/importera överst på sidan. Använd följande värden för att skapa en nyckel:
- Ange Alternativ till Generera.
- Ange ett namn för nyckeln. Namnet ska vara något som identifierar vad den planerade användningen är. Exempel:
my-cosmos-key - Ange Nyckeltyp till RSA.
- Vi rekommenderar att du väljer minst 3072 för RSA-nyckelstorleken.
- Låt Aktiverad vara inställd på Ja.
Du kan också ange ett aktiveringsdatum, förfallodatum och taggar.
Välj Skapa för att skapa nyckeln.
Tillåt att Azure Cosmos DB får åtkomst till nyckeln
- Om du vill konfigurera nyckelvalvet väljer du det i Azure-portalen och väljer sedan Åtkomstprinciper på den vänstra menyn.
- Om du vill skapa behörigheter för Azure Cosmos DB väljer du + Skapa överst på sidan. Under Nyckelbehörigheter väljer du Behörigheter för Hämta, Packa upp nyckel och Radbryt nyckel.
- Under Huvudnamn söker du efter Azure Cosmos DB och väljer det sedan. Huvud-ID:t för den här posten gäller
a232010e-820c-4083-83bb-3ace5fc29d0bför alla andra regioner än Azure Government. För Azure Government är57506a73-e302-42a9-b869-6f12d9ec29e9huvud-ID:t . - Välj Granska + skapaoch välj sedan Skapa.
Skapa en arbetsyta som använder en kundhanterad nyckel
Skapa en Azure Machine Learning-arbetsyta. När du skapar arbetsytan måste du välja Azure Key Vault och nyckeln. Beroende på hur du skapar arbetsytan anger du dessa resurser på olika sätt:
Varning
Nyckelvalvet som innehåller din kundhanterade nyckel måste finnas i samma Azure-prenumeration som arbetsytan.
Azure-portalen: Välj nyckelvalvet och nyckeln i en listruta när du konfigurerar arbetsytan.
SDK, REST API och Azure Resource Manager-mallar: Ange Azure Resource Manager-ID för nyckelvalvet och URL:en för nyckeln. Använd Azure CLI och följande kommandon för att hämta dessa värden:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kidNyckelvalvs-ID-värdet liknar
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv. URL:en för nyckeln liknarhttps://mykv.vault.azure.net/keys/mykey/{GUID}.
Exempel på hur du skapar arbetsytan med en kundhanterad nyckel finns i följande artiklar:
| Genereringsmetod | Artikel |
|---|---|
| CLI | Skapa en arbetsyta med Azure CLI |
| Azure Portal/ Python SDK |
Skapa och hantera en arbetsyta |
| Azure Resource Manager-mall |
Skapa en arbetsyta med en mall |
| REST-API | Skapa, köra och ta bort Azure Machine Learning-resurser med REST |
När arbetsytan har skapats ser du att Azure-resursgruppen har skapats i din prenumeration. Den här gruppen är utöver resursgruppen för din arbetsyta. Den här resursgruppen innehåller de Microsoft-hanterade resurser som din nyckel används med. Resursgruppen namnges med formeln <Azure Machine Learning workspace resource group name><GUID>. Den innehåller en Azure Cosmos DB-instans, Azure Storage-konto och Azure AI Search.
Dricks
- Enheter för begäran för Azure Cosmos DB-instansen skalas automatiskt efter behov.
- Om din Azure Machine Learning-arbetsyta använder en privat slutpunkt innehåller den här resursgruppen även ett Microsoft-hanterat virtuellt Azure-nätverk. Det här virtuella nätverket används för att skydda kommunikationen mellan de hanterade tjänsterna och arbetsytan. Du kan inte ange ett eget virtuellt nätverk för användning med Microsoft-hanterade resurser. Du kan inte heller ändra det virtuella nätverket. Du kan till exempel inte ändra DET IP-adressintervall som används.
Viktigt!
Om din prenumeration inte har tillräckligt med kvot för dessa tjänster uppstår ett fel.
Varning
Ta inte bort den resursgrupp som innehåller den här Azure Cosmos DB-instansen, eller någon av de resurser som skapas automatiskt i den här gruppen. Om du behöver ta bort resursgruppen eller Microsoft-hanterade tjänster i den måste du ta bort den Azure Machine Learning-arbetsyta som använder den. Resursgruppens resurser tas bort när den associerade arbetsytan tas bort.
Mer information om kundhanterade nycklar med Azure Cosmos DB finns i Konfigurera kundhanterade nycklar för ditt Azure Cosmos DB-konto.
Azure Container Instance
Viktigt!
Distribution till Azure Container Instances är inte tillgängligt i SDK eller CLI v2. Endast via SDK och CLI v1.
När du distribuerar en tränad modell till en Azure Container-instans (ACI) kan du kryptera den distribuerade resursen med hjälp av en kundhanterad nyckel. Information om hur du genererar en nyckel finns i Kryptera data med en kundhanterad nyckel.
Om du vill använda nyckeln när du distribuerar en modell till Azure Container Instance skapar du en ny distributionskonfiguration med .AciWebservice.deploy_configuration() Ange viktig information med hjälp av följande parametrar:
cmk_vault_base_url: URL:en för nyckelvalvet som innehåller nyckeln.cmk_key_name: Namnet på nyckeln.cmk_key_version: Versionen av nyckeln.
Mer information om hur du skapar och använder en distributionskonfiguration finns i följande artiklar:
Distribuera en modell till Azure Container Instances (SDK/CLI v1)
Mer information om hur du använder en kundhanterad nyckel med ACI finns i Kryptera distributionsdata.
Azure Kubernetes Service
Du kan kryptera en distribuerad Azure Kubernetes Service-resurs med hjälp av kundhanterade nycklar när som helst. Mer information finns i Bring your own keys with Azure Kubernetes Service (Ta med dina egna nycklar med Azure Kubernetes Service).
Med den här processen kan du kryptera både Data och OS-disken för de distribuerade virtuella datorerna i Kubernetes-klustret.
Viktigt!
Den här processen fungerar bara med AKS K8s version 1.17 eller senare.