Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Machine Learning, birden çok Azure hizmeti üzerine kurulmuştur. Depolanan veriler Microsoft'un sağladığı şifreleme anahtarları aracılığıyla şifreleniyor olsa da, kendi (müşteri tarafından yönetilen) anahtarlarınızı da sağlayarak güvenliği artırabilirsiniz. Sağladığınız anahtarlar Azure Key Vault'ta depolanır. Verileriniz, Azure aboneliğinizde yönettiğiniz bir dizi başka kaynakta veya Microsoft tarafından yönetilen kaynaklarda hizmet tarafında depolanabilir.
Azure Machine Learning, müşteri tarafından yönetilen anahtarlara (CMK) ek olarak, yüksek düzeyde hassas veri iş yükleri için yüksek iş etkisi yapılandırması sağlar. Bu yapılandırmanın etkinleştirilmesi, Microsoft'un tanılama amacıyla topladığı veri miktarını azaltır ve Microsoft tarafından yönetilen ortamlarda ek şifreleme sağlar.
Önkoşullar
- Azure aboneliği.
- Azure Key Vault örneği. Anahtar kasası, hizmetlerinizi şifrelemeye yönelik anahtarları içerir.
Anahtar kasası geçici silme ve temizleme korumasını etkinleştirmelidir. Müşteri tarafından yönetilen anahtar kullanarak güvenliğini sağlamaya yardımcı olduğunuz hizmetlerin yönetilen kimliği, anahtar kasası için aşağıdaki izinlere sahip olmalıdır:
- Anahtarı Sarmala
- Anahtar Sarmalamasını Geri Al
- Al
Örneğin, Azure Cosmos DB için yönetilen kimliğin anahtar kasası için bu izinlere sahip olması gerekir.
Sınırlamalar
- Çalışma alanı oluşturulduktan sonra, çalışma alanının bağımlı olduğu kaynaklar için müşteri tarafından yönetilen şifreleme anahtarı yalnızca özgün Azure Key Vault kaynağındaki başka bir anahtara güncelleştirilebilir.
- Hizmet tarafı kullanmadığınız sürece şifrelenmiş veriler aboneliğinizdeki Microsoft tarafından yönetilen bir kaynak grubundaki kaynaklarda depolanır. Bu kaynakları en önde oluşturamaz veya sahipliğini size aktaramazsınız. Veri yaşam döngüsü, Siz Azure Machine Learning hizmetinde nesneler oluştururken Azure Machine Learning API'leri aracılığıyla dolaylı olarak yönetilir.
- Hizmet tarafı kullanıyorsanız geçici silme saklama süresi boyunca Azure ücretleri tahakkuk etmeye devam eder.
- Müşteri tarafından yönetilen anahtarlar için kullandığınız Microsoft tarafından yönetilen kaynakları çalışma alanınızı da silmeden silemezsiniz.
- müşteri tarafından yönetilen anahtarlarınızı kullanarak işlem kümesinin işletim sistemi diskini şifreleyemezsiniz. Microsoft tarafından yönetilen anahtarları kullanmanız gerekir.
Uyarı
Azure Cosmos DB örneğini içeren kaynak grubunu veya bu grupta otomatik olarak oluşturulan kaynaklardan herhangi birini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure Machine Learning çalışma alanını silmeniz gerekir. İlişkili çalışma alanını sildiğinizde kaynak grubunun kaynakları silinir.
Müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen bir anahtar kullanmadığınızda Microsoft, Microsoft'a ait bir Azure aboneliğinde kaynaklar oluşturup yönetir ve verileri şifrelemek için Microsoft tarafından yönetilen bir anahtar kullanır.
Müşteri tarafından yönetilen bir anahtar kullandığınızda iki olası yapılandırma vardır:
- Hizmet tarafı şifrelemesi: Kaynaklar, Microsoft tarafından yönetilen kaynaklarda hizmet tarafında depolanır. Bu yapılandırma maliyetleri azaltır ve ayrıca Azure aboneliğiniz için ayarlamış olabileceğiniz ilkelerle çakışma olasılığını azaltır.
- Abonelik tarafı şifrelemesi (klasik):Kaynaklar Azure aboneliğinizde barındırılır ve anahtarınız ile şifrelenir. Bu kaynaklar aboneliğinizde mevcut olsa da Microsoft tarafından yönetilebilir. Bu kaynaklar, Azure Machine Learning çalışma alanınızı oluşturduğunuzda otomatik olarak oluşturulur ve yapılandırılır.
Meta verilerin hizmet tarafı şifrelemesi
Bu yapılandırmada, şifrelenmiş veriler aboneliğinizde değil Microsoft tarafından yönetilen kaynaklarda hizmet tarafında depolanır. Hizmet tarafı şifrelemesi kullanmak abonelik tarafı şifrelemesine kıyasla maliyetleri azaltır ve Azure ilkesi çakışmaları olasılığını azaltır.
Veriler, şifreleme anahtarınızı kullanarak belge düzeyinde şifreleme ile Microsoft tarafından yönetilen çok kiracılı kaynaklarda depolanır. Arama dizinleri, çalışma alanı başına sizin için ayrılmış olarak sağlanan Microsoft tarafından yönetilen kaynaklarda depolanır. Azure AI arama örneğinin maliyeti, Microsoft Maliyet Yönetimi'ndeki Azure Machine Learning çalışma alanınız kapsamında ücretlendirilir.
İşlem hatları meta verileri, aboneliğinizdeki Azure Machine Learning çalışma alanıyla ilişkili depolama hesabında depolanır. Bu Azure Depolama kaynağı aboneliğinizde ayrı yönetildiğinden, bu kaynakta şifreleme ayarlarını yapılandırmak sizin sorumluluğunuzdadır.
Not
- Hizmet tarafı şifrelemesi kullandığınızda geçici silme saklama süresi boyunca Azure ücretleri tahakkuk etmeye devam eder.
Meta verilerin hizmet tarafı şifrelemesiyle çalışma alanı oluşturan şablonlar için bkz.
- Varsayılan çalışma alanı oluşturmak için Bicep şablonu.
- Hub çalışma alanı oluşturmak için Bicep şablonu.
Meta verilerin abonelik tarafı şifrelemesi (klasik)
Kendi şifreleme anahtarınızı getirdiğinizde hizmet meta verileri Azure aboneliğinizdeki ayrılmış kaynaklarda depolanır. Microsoft bu amaçla aboneliğinizde ayrı bir kaynak grubu oluşturur: azureml-rg-workspacename_GUID. Bu yönetilen kaynak grubundaki kaynakları yalnızca Microsoft değiştirebilir.
Azure Machine Learning çalışma alanınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure sanal ağını da içerir. Bu sanal ağ, yönetilen hizmetler ve çalışma alanı arasındaki iletişimin güvenliğini sağlar. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Microsoft, çalışma alanınızın meta verilerini depolamak için aşağıdaki kaynakları oluşturur:
| Hizmet | Kullanım | Örnek veriler |
|---|---|---|
| Azure Cosmos DB veritabanı | İş geçmişi verilerini, işlem meta verilerini ve varlık meta verilerini depolar. | Veriler iş adı, durum, sıra numarası ve durumu içerebilir; işlem kümesi adı, çekirdek sayısı ve düğüm sayısı; veri deposu adları ve etiketleri ile modeller gibi varlıklardaki açıklamalar; ve veri etiketi adları. |
| Azure Yapay Zeka Arama | Makine öğrenmesi içeriğinizi sorgulamaya yardımcı olan dizinleri depolar. | Bu dizinler, Azure Cosmos DB'de depolanan verilerin üzerine kurulmuştur. |
| Azure Depolama | Azure Machine Learning işlem hattı verileriyle ilgili meta verileri depolar. | Veriler tasarımcı işlem hattı adlarını, işlem hattı düzenini ve yürütme özelliklerini içerebilir. |
İpucu
Azure Cosmos DB için İstek Birimleri gerektiğinde otomatik olarak ölçeklendirilir.
Önemli
Aboneliğinizde bu hizmetler için yeterli kota yoksa bir hata oluşur.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, bu kaynaklar aboneliğinizde olduğundan aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Veri yaşam döngüsü yönetimi açısından bakıldığında, Azure Machine Learning'de karşılık gelen nesneleri oluşturup sildiğinizde önceki kaynaklardaki veriler oluşturulur ve silinir.
Azure Machine Learning çalışma alanınız yönetilen kimliğini kullanarak verileri okur ve yazar. Bu kimliğe, veri kaynakları üzerindeki bir rol ataması (Azure rol tabanlı erişim denetimi) aracılığıyla kaynaklara erişim verilir. Sağladığınız şifreleme anahtarı, Microsoft tarafından yönetilen kaynaklarda depolanan verileri şifrelemek için kullanılır. Çalışma zamanında anahtar, Azure AI Search için dizinler oluşturmak için de kullanılır.
Gelen bağlantıya izin vermek için çalışma alanınızda özel bağlantı uç noktası oluşturduğunuzda ek ağ denetimleri yapılandırılır. Bu yapılandırma, Azure Cosmos DB örneğine özel bağlantı uç noktası bağlantısı oluşturmayı içerir. Ağ erişimi yalnızca güvenilen Microsoft hizmetleri ile sınırlıdır.
İşlem kaynaklarındaki verilerin şifrelenmesini
Azure Machine Learning, makine öğrenmesi modellerini eğitmek ve dağıtmak için işlem kaynaklarını kullanır. Aşağıdaki tabloda işlem seçenekleri ve her birinin verileri nasıl şifrelediği açıklanmaktadır:
| İşlem | Şifreleme |
|---|---|
| Azure Konteyner Örnekleri (Azure Container Instances) | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir.
Daha fazla bilgi için bkz . Dağıtım verilerini şifreleme. |
| Azure Kubernetes Service | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir.
Daha fazla bilgi için bkz . Azure Kubernetes Service'te Azure diskleriyle kendi anahtarlarınızı getirme. |
| Azure Machine Learning işlem örneği | Çalışma alanı bayrağını etkinleştirirseniz hbi_workspace yerel karalama diski şifrelenir. |
| Azure Machine Learning işlem kümesi | İşletim sistemi diski Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenir. Geçici disk, çalışma alanı bayrağını hbi_workspace etkinleştirirseniz şifrelenir. |
| İşlem | Şifreleme |
|---|---|
| Azure Kubernetes Service | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir.
Daha fazla bilgi için bkz . Azure Kubernetes Service'te Azure diskleriyle kendi anahtarlarınızı getirme. |
| Azure Machine Learning işlem örneği | Çalışma alanı bayrağını etkinleştirirseniz hbi_workspace yerel karalama diski şifrelenir. |
| Azure Machine Learning işlem kümesi | İşletim sistemi diski Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenir. Geçici disk, çalışma alanı bayrağını hbi_workspace etkinleştirirseniz şifrelenir. |
İşlem kümesi
İşlem kümeleri yerel işletim sistemi disk depolama alanına sahiptir ve iş sırasında aboneliğinizdeki depolama hesaplarından veri bağlayabilir. Bir işte kendi depolama hesabınızdan veri bağlarken, şifreleme için bu depolama hesaplarında müşteri tarafından yönetilen anahtarları etkinleştirebilirsiniz.
Her işlem düğümü için işletim sistemi diski Azure Depolama'da depolanır ve müşteri tarafından yönetilen anahtarlarla değil Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla her zaman şifrelenir. Bu işlem hedefi kısa ömürlü olduğundan, işletim sistemi diskinde depolanan veriler küme ölçeği azaltıldıktan sonra silinir. Hiçbir iş kuyruğa alınmadığında, otomatik ölçeklendirme açıkken ve en düşük düğüm sayısı sıfır olarak ayarlandığında kümeler genellikle ölçeği küçültür. Temel alınan sanal makinenin yetkisi kaldırılır ve işletim sistemi diski silinir.
Azure Disk Şifrelemesi işletim sistemi diski için desteklenmez. Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız geçici disk şifrelenir. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
İşlem örneği
İşlem örneğinin işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. çalışma alanını hbi_workspace parametresi olarak ayarlanmış TRUEşekilde oluşturursanız, işlem örneğindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici diskler için desteklenmez.
yüksek iş etkisi (HBI) yapılandırması
Standart çalışma alanı yapılandırmalarında Azure Machine Learning, performans izleme ve iyileştirmenin yanı sıra işlem kümelerinizin sorunlarını gidermeye yönelik tanılama bilgilerini toplar. Örneğin, aynı docker görüntüsü kullanılarak aynı işlem kümesinde iki iş çalıştırıldığında, aynı görüntü yeniden derlenmek veya işin başlangıç sürelerini iki kez azaltmak zorunda kalmadan işler arasında yeniden kullanılabilir.
Son derece hassas veri iş yüklerini işlerken, çalışma alanınızda bayrağı ayarlayarak hbi yukarıdaki davranışı geri çevirebilirsiniz. Bu bayrak aşağıdaki davranışları etkinleştirir:
- Microsoft'un işlem kümelerinizden tanılama amacıyla topladığı veri miktarını azaltır ve Microsoft tarafından yönetilen ortamlarda ek şifreleme sağlar.
- Azure Machine Learning işlem kümenizdeki yerel karalama diskini şifrelemeye başlar. Bu davranış yalnızca bu abonelikte önceki küme oluşturmadıysanız uygulanır. Aksi takdirde, işlem kümeleriniz için karalama diskinin şifrelenmesini etkinleştirmek için bir destek bileti oluşturmanız gerekir.
- İşler arasındaki yerel karalama diskinizi temizler. Örneğin, bu işlem önbelleğe alınmış docker görüntülerini temizler ve iş başlatma hızını etkileyebilir.
- Azure anahtar kasanızı kullanarak depolama hesabınız, kapsayıcı kayıt defteriniz ve Secure Shell (SSH) hesabınızın kimlik bilgilerini yürütme katmanından işlem kümelerinize geçirir.
Bayrağın hbi_workspace aktarımdaki şifrelemeyi etkilemediğini unutmayın. Yalnızca bekleyen şifrelemeyi etkiler.
Bayrağı yalnızca bir çalışma alanı oluşturduğunuzda ayarlayabilirsiniz hbi_workspace . Var olan bir çalışma alanı için değiştiremezsiniz.
Bu bayrağı olarak ayarladığınızda, Microsoft'a TRUEdaha az telemetri verisi gönderildiğinden sorun giderme zorluğu artabilir. Başarı oranlarına veya sorun türlerine daha az görünürlük vardır. Microsoft, bu bayrak TRUEolduğunda proaktif olarak tepki vermeyebilir.
Azure Machine Learning çalışma alanı oluştururken bayrağını etkinleştirmek hbi_workspace için aşağıdaki makalelerden birinde yer alan adımları izleyin:
- Azure portalını veya Python SDK'sını kullanarak çalışma alanı oluşturma ve yönetme
- Azure CLI kullanarak çalışma alanı oluşturma ve yönetme
- HashiCorp Terraform kullanarak çalışma alanı oluşturma
- Azure Resource Manager şablonlarını kullanarak çalışma alanı oluşturma