Azure Machine Learning için müşteri tarafından yönetilen anahtarlar
Azure Machine Learning, birden çok Azure hizmeti üzerine kurulmuştur. Depolanan veriler Microsoft'un sağladığı şifreleme anahtarları aracılığıyla şifreleniyor olsa da, kendi (müşteri tarafından yönetilen) anahtarlarınızı da sağlayarak güvenliği artırabilirsiniz. Sağladığınız anahtarlar Azure Key Vault'ta depolanır. Verileriniz, Azure aboneliğinizde yönettiğiniz diğer kaynaklar kümesinde depolanır.
Azure Machine Learning, müşteri tarafından yönetilen anahtarlara (CMK) ek olarak bir hbi_workspace bayrağı sağlar. Bu bayrağın etkinleştirilmesi, Microsoft'un tanılama amacıyla topladığı veri miktarını azaltır ve Microsoft tarafından yönetilen ortamlarda ek şifreleme sağlar. Bu bayrak aşağıdaki davranışları da etkinleştirir:
- Bu abonelikte önceki küme oluşturmadıysanız Azure Machine Learning işlem kümenizdeki yerel karalama diskini şifrelemeye başlar. Aksi takdirde, işlem kümeleriniz için karalama diskinin şifrelenmesini etkinleştirmek için bir destek bileti oluşturmanız gerekir.
- İşler arasındaki yerel karalama diskinizi temizler.
- Anahtar kasanızı kullanarak depolama hesabınız, kapsayıcı kayıt defteriniz ve Secure Shell (SSH) hesabınızın kimlik bilgilerini yürütme katmanından işlem kümelerinize güvenli bir şekilde geçirir.
Bayrak aktarımdaki hbi_workspace şifrelemeyi etkilemez. Yalnızca bekleyen şifrelemeyi etkiler.
Önkoşullar
- Azure aboneliği.
- Azure Key Vault örneği. Anahtar kasası, hizmetlerinizi şifrelemeye yönelik anahtarları içerir.
Anahtar kasası geçici silme ve temizleme korumasını etkinleştirmelidir. Müşteri tarafından yönetilen anahtar kullanarak güvenliğini sağlamaya yardımcı olduğunuz hizmetlerin yönetilen kimliği, anahtar kasası için aşağıdaki izinlere sahip olmalıdır:
- Anahtarı Sarmala
- Anahtar Sarmalamasını Geri Al
- Al
Örneğin, Azure Cosmos DB için yönetilen kimliğin anahtar kasası için bu izinlere sahip olması gerekir.
Sınırlamalar
- Çalışma alanı oluşturulduktan sonra, çalışma alanının bağımlı olduğu kaynaklar için müşteri tarafından yönetilen şifreleme anahtarı yalnızca özgün Azure Key Vault kaynağındaki başka bir anahtara güncelleştirilebilir.
- Şifrelenmiş veriler, aboneliğinizdeki Microsoft tarafından yönetilen bir kaynak grubundaki kaynaklarda depolanır. Bu kaynakları en önde oluşturamaz veya sahipliğini size aktaramazsınız. Veri yaşam döngüsü, Siz Azure Machine Learning hizmetinde nesneler oluştururken Azure Machine Learning API'leri aracılığıyla dolaylı olarak yönetilir.
- Müşteri tarafından yönetilen anahtarlar için kullandığınız Microsoft tarafından yönetilen kaynakları çalışma alanınızı da silmeden silemezsiniz.
- müşteri tarafından yönetilen anahtarlarınızı kullanarak işlem kümesinin işletim sistemi diskini şifreleyemezsiniz. Microsoft tarafından yönetilen anahtarları kullanmanız gerekir.
Uyarı
Azure Cosmos DB örneğini içeren kaynak grubunu veya bu grupta otomatik olarak oluşturulan kaynaklardan herhangi birini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure Machine Learning çalışma alanını silmeniz gerekir. İlişkili çalışma alanını sildiğinizde kaynak grubunun kaynakları silinir.
Müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen bir anahtar kullanmadığınızda Microsoft, Microsoft'a ait bir Azure aboneliğinde kaynaklar oluşturup yönetir ve verileri şifrelemek için Microsoft tarafından yönetilen bir anahtar kullanır.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, kaynaklar Azure aboneliğinizdedir ve anahtarınız ile şifrelenir. Bu kaynaklar aboneliğinizde mevcut olsa da Microsoft tarafından yönetilebilir. Azure Machine Learning çalışma alanınızı oluşturduğunuzda bunlar otomatik olarak oluşturulur ve yapılandırılır.
Microsoft tarafından yönetilen bu kaynaklar, aboneliğinizde oluşturulan yeni bir Azure kaynak grubunda bulunur. Bu kaynak grubu, çalışma alanınızın kaynak grubundan ayrıdır. Anahtarınızın birlikte kullanıldığı Microsoft tarafından yönetilen kaynakları içerir. Kaynak grubunu adlandırma formülü: <Azure Machine Learning workspace resource group name><GUID>.
İpucu
Azure Cosmos DB için İstek Birimleri gerektiğinde otomatik olarak ölçeklendirilir.
Azure Machine Learning çalışma alanınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure sanal ağını da içerir. Bu sanal ağ, yönetilen hizmetler ve çalışma alanı arasındaki iletişimin güvenliğini sağlar. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Önemli
Aboneliğinizde bu hizmetler için yeterli kota yoksa bir hata oluşur.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, bu kaynaklar aboneliğinizde olduğundan aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
İşlem kaynaklarındaki verilerin şifrelenmesini
Azure Machine Learning, makine öğrenmesi modellerini eğitmek ve dağıtmak için işlem kaynaklarını kullanır. Aşağıdaki tabloda işlem seçenekleri ve her birinin verileri nasıl şifrelediği açıklanmaktadır:
| İşlem | Şifreleme |
|---|---|
| Azure Container Instances | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir. Daha fazla bilgi için bkz . Dağıtım verilerini şifreleme. |
| Azure Kubernetes Service | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir. Daha fazla bilgi için bkz . Azure Kubernetes Service'te Azure diskleriyle kendi anahtarlarınızı getirme. |
| Azure Machine Learning işlem örneği | Çalışma alanı bayrağını etkinleştirirseniz hbi_workspace yerel karalama diski şifrelenir. |
| Azure Machine Learning işlem kümesi | İşletim sistemi diski Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenir. Geçici disk, çalışma alanı bayrağını hbi_workspace etkinleştirirseniz şifrelenir. |
| İşlem | Şifreleme |
|---|---|
| Azure Kubernetes Service | Veriler Microsoft tarafından yönetilen bir anahtar veya müşteri tarafından yönetilen bir anahtarla şifrelenir. Daha fazla bilgi için bkz . Azure Kubernetes Service'te Azure diskleriyle kendi anahtarlarınızı getirme. |
| Azure Machine Learning işlem örneği | Çalışma alanı bayrağını etkinleştirirseniz hbi_workspace yerel karalama diski şifrelenir. |
| Azure Machine Learning işlem kümesi | İşletim sistemi diski Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenir. Geçici disk, çalışma alanı bayrağını hbi_workspace etkinleştirirseniz şifrelenir. |
İşlem kümesi
İşlem kümeleri yerel işletim sistemi disk depolama alanına sahiptir ve iş sırasında aboneliğinizdeki depolama hesaplarından veri bağlayabilir. Bir işte kendi depolama hesabınızdan veri bağlarken, şifreleme için bu depolama hesaplarında müşteri tarafından yönetilen anahtarları etkinleştirebilirsiniz.
Azure Depolama'da depolanan her işlem düğümü için işletim sistemi diski, müşteri tarafından yönetilen anahtarlarla değil, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla her zaman şifrelenir. Bu işlem hedefi kısa ömürlü olduğundan, küme ölçeği azaltıldıktan sonra işletim sistemi diskinde depolanan veriler silinir. Hiçbir iş kuyruğa alınmadığında, otomatik ölçeklendirme açıkken ve en düşük düğüm sayısı sıfır olarak ayarlandığında kümeler genellikle ölçeği küçültür. Temel alınan sanal makinenin yetkisi kaldırılır ve işletim sistemi diski silinir.
Azure Disk Şifrelemesi işletim sistemi diski için desteklenmez. Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Çalışma alanını parametresi olarak hbi_workspace ayarlanmış TRUEşekilde oluşturursanız geçici disk şifrelenir. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
İşlem örneği
İşlem örneğinin işletim sistemi diski, Azure Machine Learning depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. çalışma alanını hbi_workspace parametresi olarak ayarlanmış TRUEşekilde oluşturursanız, işlem örneğindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici diskler için desteklenmez.
Şifrelenmiş çalışma alanı meta verilerinin Depolama
Kendi şifreleme anahtarınızı getirdiğinizde hizmet meta verileri Azure aboneliğinizdeki ayrılmış kaynaklarda depolanır. Microsoft bu amaçla aboneliğinizde ayrı bir kaynak grubu oluşturur: azureml-rg-workspacename_GUID. Bu yönetilen kaynak grubundaki kaynakları yalnızca Microsoft değiştirebilir.
Microsoft, çalışma alanınızın meta verilerini depolamak için aşağıdaki kaynakları oluşturur:
| Hizmet | Kullanım | Örnek veriler |
|---|---|---|
| Azure Cosmos DB | İş geçmişi verilerini, işlem meta verilerini ve varlık meta verilerini depolar. | Veriler iş adı, durum, sıra numarası ve durumu içerebilir; işlem kümesi adı, çekirdek sayısı ve düğüm sayısı; veri deposu adları ve etiketleri ile modeller gibi varlıklardaki açıklamalar; ve veri etiketi adları. |
| Azure Yapay Zeka Arama | Makine öğrenmesi içeriğinizi sorgulamaya yardımcı olan dizinleri depolar. | Bu dizinler, Azure Cosmos DB'de depolanan verilerin üzerine kurulmuştur. |
| Azure Depolama | Azure Machine Learning işlem hattı verileriyle ilgili meta verileri depolar. | Veriler tasarımcı işlem hattı adlarını, işlem hattı düzenini ve yürütme özelliklerini içerebilir. |
Veri yaşam döngüsü yönetimi açısından bakıldığında, Azure Machine Learning'de karşılık gelen nesneleri oluşturup sildiğinizde önceki kaynaklardaki veriler oluşturulur ve silinir.
Azure Machine Learning çalışma alanınız yönetilen kimliğini kullanarak verileri okur ve yazar. Bu kimliğe, veri kaynakları üzerindeki bir rol ataması (Azure rol tabanlı erişim denetimi) aracılığıyla kaynaklara erişim verilir. Sağladığınız şifreleme anahtarı, Microsoft tarafından yönetilen kaynaklarda depolanan verileri şifrelemek için kullanılır. Ayrıca çalışma zamanında Azure AI Search için dizinler oluşturmak için de kullanılır.
Gelen bağlantıya izin vermek için çalışma alanınızda özel bağlantı uç noktası oluşturduğunuzda ek ağ denetimleri yapılandırılır. Bu yapılandırma, Azure Cosmos DB örneğine özel bağlantı uç noktası bağlantısı oluşturmayı içerir. Ağ erişimi yalnızca güvenilen Microsoft hizmetleri ile sınırlıdır.
(Önizleme) Meta verilerin hizmet tarafı şifrelemesi
Müşteri tarafından yönetilen anahtar şifrelemesi çalışma alanı için yeni bir mimari önizleme aşamasında kullanıma sunulmuştur. Bu mimari, geçerli mimariye kıyasla maliyeti azaltır ve Azure ilkesi çakışmalarının olasılığını azaltır. Bu yeni modelde şifrelenmiş veriler aboneliğinizde değil Microsoft tarafından yönetilen kaynaklarda hizmet tarafında depolanır.
Daha önce aboneliğinizde CosmosDB'de depolanan veriler, şifreleme anahtarınızı kullanarak belge düzeyinde şifreleme kullanılarak çok kiracılı Microsoft tarafından yönetilen kaynaklarda depolanır. Daha önce aboneliğinizdeki Azure AI Search'te depolanan arama dizinleri, çalışma alanı başına sizin için ayrılmış olarak sağlanan Microsoft tarafından yönetilen kaynaklarda depolanır. Azure AI arama örneğinin maliyeti, Azure Maliyet Yönetimi'ndeki Azure ML çalışma alanınız kapsamında ücretlendirilir.
Daha önce yönetilen bir kaynak grubundaki bir depolama hesabında depolanan işlem hatları meta verileri artık aboneliğinizdeki Azure Machine Learning çalışma alanıyla ilişkili depolama hesabında depolanır. Bu Azure Depolama kaynağı aboneliğinizde ayrı yönetildiğinden, bu kaynakta şifreleme ayarlarını yapılandırmak sizin sorumluluğunuzdadır.
Bu önizlemeyi enableServiceSideCMKEncryption kabul etmek için çalışma alanı oluşturduğunuzda değerini ayarlayın. Önizleme kullanılabilirliği çalışma alanı türüne göre değişir:
| Tip | Desteklenir |
|---|---|
| Varsayılan | Yes |
| Hub | Hayır |
| Project | Hayır |
Not
Bu önizleme anahtarı döndürme ve veri etiketleme özellikleri desteklenmez.
Meta verilerin hizmet tarafı şifrelemesiyle çalışma alanı oluşturan bir şablon için bkz https://github.com/deeikele/azure-quickstart-templates/tree/cmk-service-side/quickstarts/microsoft.machinelearningservices/machine-learning-workspace-cmk-service-side-encryption. .
hbi_workspace bayrağı
Bayrağı yalnızca bir çalışma alanı oluşturduğunuzda ayarlayabilirsiniz hbi_workspace . Var olan bir çalışma alanı için değiştiremezsiniz.
Bu bayrağı olarak ayarladığınızda, Microsoft'a TRUEdaha az telemetri verisi gönderildiğinden sorun giderme zorluğu artabilir. Başarı oranlarına veya sorun türlerine daha az görünürlük vardır. Microsoft, bu bayrak TRUEolduğunda proaktif olarak tepki vermeyebilir.
Azure Machine Learning çalışma alanı oluştururken bayrağını etkinleştirmek hbi_workspace için aşağıdaki makalelerden birinde yer alan adımları izleyin:
- Azure portalını veya Python SDK'sını kullanarak çalışma alanı oluşturma ve yönetme
- Azure CLI kullanarak çalışma alanı oluşturma ve yönetme
- HashiCorp Terraform kullanarak çalışma alanı oluşturma
- Azure Resource Manager şablonlarını kullanarak çalışma alanı oluşturma