Veri yönetimi

  • Makale

Azure Machine Learning'de veri erişimini yönetmeyi ve kimlik doğrulamayı öğrenin.

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Önemli

Bu makale, bir Azure Machine Learning çözümü için gerekli altyapıyı oluşturmak isteyen Azure yöneticilerine yöneliktir.

Kimlik bilgisi tabanlı veri kimlik doğrulaması

Genel olarak, kimlik bilgisi tabanlı veri kimlik doğrulaması şu denetimleri içerir:

  • Kimlik bilgisi tabanlı veri deposundan verilere erişen kullanıcıya, içeren Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/actionrol tabanlı erişim denetimine (RBAC) sahip bir rol atandı mı?

    • Bu izin, kullanıcının veri deposundan kimlik bilgilerini almak için gereklidir.
    • Bu izni içeren yerleşik roller zaten Katkıda Bulunan, Azure Yapay Zeka Geliştirici veya Azure Machine Learning Veri Bilimci. Alternatif olarak, özel bir rol uygulanmışsa, bu iznin bu özel role eklendiğinden emin olmanız gerekir.
    • Verilere hangi kullanıcının erişmeye çalıştığını bilmeniz gerekir. Kullanıcı kimliğine sahip gerçek bir kullanıcı veya işlem yönetilen kimliğine (MSI) sahip bir bilgisayar olabilir. İzin eklemeniz gereken kimliği tanımlamak için Senaryolar ve kimlik doğrulama seçenekleri bölümüne bakın.

  • Depolanan kimlik bilgilerinin (hizmet sorumlusu, hesap anahtarı veya paylaşılan erişim imzası belirteci) veri kaynağına erişimi var mı?

Kimlik tabanlı veri kimlik doğrulaması

Genel olarak, kimlik tabanlı veri kimlik doğrulaması şu denetimleri içerir:

  • Hangi kullanıcı kaynaklara erişmek istiyor?
    • Verilere erişilirken bağlama bağlı olarak, farklı kimlik doğrulama türleri kullanılabilir, örneğin:
      • Kullanıcı kimliği
      • İşlem yönetilen kimliği
      • Çalışma alanı yönetilen kimliği
    • Veri kümesi Generate Profile seçeneği dahil olmak üzere işler aboneliğinizdeki bir işlem kaynağında çalışır ve verilere bu konumdan erişin. İşlem yönetilen kimliğinin, işi gönderen kullanıcının kimliği yerine depolama kaynağı için izin alması gerekir.
    • Bir kullanıcı kimliğine dayalı kimlik doğrulaması için, depolama kaynağına erişmeye çalışan belirli bir kullanıcıyı bilmeniz gerekir. Kullanıcı kimlik doğrulaması hakkında daha fazla bilgi için bkz. Azure Machine Learning için kimlik doğrulaması. Hizmet düzeyi kimlik doğrulaması hakkında daha fazla bilgi için bkz . Azure Machine Learning ve diğer hizmetler arasında kimlik doğrulaması.
  • Bu kullanıcının okuma izni var mı?
    • Kullanıcı kimliği veya işlem yönetilen kimliği bu depolama kaynağı için gerekli izinlere sahip mi? İzinler Azure RBAC kullanılarak verilir.
    • Depolama hesabı Okuyucusu , depolama meta verilerini okur.
    • Depolama Blob Veri Okuyucusu, depolama kapsayıcılarını ve blobları okur ve listeler.
    • Daha fazla bilgi için bkz . Depolama için Azure yerleşik rolleri.
  • Bu kullanıcının yazma izni var mı?
    • Kullanıcı kimliği veya işlem yönetilen kimliği bu depolama kaynağı için gerekli izinlere sahip mi? İzinler Azure RBAC kullanılarak verilir.
    • Depolama hesabı Okuyucusu , depolama meta verilerini okur.
    • Depolama Blob Verileri Katkıda Bulunanı, Azure Depolama kapsayıcılarını ve bloblarını okur, yazar ve siler.
    • Daha fazla bilgi için bkz . Depolama için Azure yerleşik rolleri.

Kimlik doğrulaması için diğer genel denetimler

  • Erişim nereden geliyor?
    • Kullanıcı: İstemci IP adresi sanal ağ/alt ağ aralığında mı?
    • Çalışma alanı: Çalışma alanı genel mi yoksa sanal ağda/alt ağda özel uç noktası mı var?
    • Depolama: Depolama genel erişime izin verir mi, yoksa bir hizmet uç noktası veya özel uç nokta üzerinden erişimi kısıtlar mı?
  • Hangi işlem gerçekleştirilecek?
    • Azure Machine Learning bir veri deposunda/veri kümesinde oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemlerini işler.
    • Azure Machine Learning stüdyosu'deki veri varlıklarındaki arşiv işlemleri için şu RBAC işlemi gerekir:Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
    • Veri erişim çağrıları (örneğin, önizleme veya şema) temel alınan depolamaya gider ve ek izinlere ihtiyaç duyar.
  • Bu işlem Azure aboneliği işlem kaynaklarınızda veya bir Microsoft aboneliğinde barındırılan kaynaklarda çalışacak mı?
    • Veri kümesi ve veri deposu hizmetlerine yapılan Generate Profile tüm çağrılar (seçenek hariç) işlemleri çalıştırmak için bir Microsoft aboneliğinde barındırılan kaynakları kullanır.
    • Veri kümesi Generate Profile seçeneği dahil olmak üzere işler, aboneliğinizdeki bir işlem kaynağında çalışır ve verilere bu konumdan erişer. İşlem kimliğinin, işi gönderen kullanıcının kimliği yerine depolama kaynağı için izin alması gerekir.

Bu diyagram, bir veri erişim çağrısının genel akışını gösterir. Burada bir kullanıcı, bir işlem kaynağı kullanmadan Machine Learning çalışma alanı üzerinden veri erişimi çağrısı yapmaya çalışır.

Verilere erişirken mantıksal akışı gösteren diyagram.

Senaryolar ve kimlik doğrulama seçenekleri

Bu tabloda, belirli senaryolar için kullanılacak kimlikler listelenir.

Yapılandırma SDK yerel/not defteri sanal makinesi İş Veri Kümesi Önizlemesi Veri deposuna göz atma
Kimlik Bilgisi + Çalışma Alanı MSI'sı Referans Referans Çalışma Alanı MSI Kimlik bilgileri (yalnızca hesap anahtarı ve paylaşılan erişim imzası belirteci)
Kimlik Bilgisi Yok + Çalışma Alanı MSI'sı İşlem MSI/Kullanıcı kimliği İşlem MSI/Kullanıcı kimliği Çalışma Alanı MSI Kullanıcı kimliği
Kimlik Bilgileri + Çalışma Alanı MSI'sı Yok Referans Referans Kimlik bilgileri (özel ağ altında Veri Kümesi Önizlemesi için desteklenmez) Kimlik bilgileri (yalnızca hesap anahtarı ve paylaşılan erişim imzası belirteci)
Kimlik Bilgisi Yok + Çalışma Alanı MSI'sı Yok İşlem MSI/Kullanıcı kimliği İşlem MSI/Kullanıcı kimliği Kullanıcı kimliği Kullanıcı kimliği

SDK V1 için bir işteki veri kimlik doğrulaması her zaman işlem MSI'sini kullanır. SDK V2 için, bir işte veri kimlik doğrulaması iş ayarına bağlıdır. Kullanıcı kimliği veya ayarınıza göre işlem MSI'sı olabilir.

İpucu

Machine Learning dışındaki verilere erişmek için ( örneğin, Azure Depolama Gezgini ile) bu erişim büyük olasılıkla kullanıcı kimliğine dayanır. Belirli bilgiler için kullandığınız araç veya hizmetin belgelerini gözden geçirin. Machine Learning'in verilerle nasıl çalıştığı hakkında daha fazla bilgi için bkz . Azure Machine Learning ile diğer hizmetler arasında kimlik doğrulamasını ayarlama.

Sanal ağa özgü gereksinimler

Aşağıdaki bilgiler, Machine Learning çalışma alanından sanal ağın arkasındaki verilere erişmek için veri kimlik doğrulamasını ayarlamanıza yardımcı olur.

Machine Learning çalışma alanı yönetilen kimliğine depolama hesabının izinlerini ekleme

Stüdyodan bir depolama hesabı kullandığınızda, Veri Kümesi Önizlemesi'ni görmek istiyorsanız Veri deposu ayarındaki Azure Machine Learning stüdyosu veri önizlemesi ve profil oluşturma için çalışma alanı yönetilen kimliğini kullan'ı etkinleştirmeniz gerekir. Ardından, depolama hesabının aşağıdaki Azure RBAC rollerini çalışma alanı yönetilen kimliğine ekleyin:

  • Blob Veri Okuyucusu
  • Depolama hesabı sanal ağa bağlanmak için özel bir uç nokta kullanıyorsa, yönetilen kimliğe depolama hesabı özel uç noktası için Okuyucu rolü vermelisiniz.

Daha fazla bilgi için bkz. Azure sanal ağında Azure Machine Learning stüdyosu kullanma.

Aşağıdaki bölümlerde, bir sanal ağda çalışma alanınızla birlikte depolama hesabı kullanmanın sınırlamaları açıklanmaktadır.

Depolama hesabıyla güvenli iletişim

Machine Learning ile depolama hesapları arasındaki iletişimin güvenliğini sağlamak için depolama alanını güvenilen Azure hizmetlerine erişim izni vermek üzere yapılandırın.

Azure Depolama güvenlik duvarı

Bir depolama hesabı sanal ağın arkasında bulunduğunda, depolama güvenlik duvarı normalde istemcinizin doğrudan İnternet üzerinden bağlanmasına izin vermek için kullanılabilir. Ancak, stüdyoyu kullandığınızda istemciniz depolama hesabına bağlanmaz. İsteği yapan Machine Learning hizmeti depolama hesabına bağlanır. Hizmetin IP adresi belgelenmez ve sık sık değişir. Depolama güvenlik duvarının etkinleştirilmesi, stüdyonun sanal ağ yapılandırmasındaki depolama hesabına erişmesine izin vermez.

Azure Depolama uç nokta türü

Çalışma alanı özel bir uç nokta kullandığında ve depolama hesabı da sanal ağda olduğunda, stüdyoyu kullandığınızda ek doğrulama gereksinimleri ortaya çıkar:

  • Depolama hesabı bir hizmet uç noktası kullanıyorsa, çalışma alanı özel uç noktası ve depolama hizmeti uç noktası sanal ağın aynı alt ağında bulunmalıdır.
  • Depolama hesabı özel uç nokta kullanıyorsa, çalışma alanı özel uç noktası ve depolama özel uç noktası aynı sanal ağda bulunmalıdır. Bu durumda farklı alt ağlarda olabilirler.

Azure Data Lake Storage Gen1

Veri deposu olarak Azure Data Lake Storage 1. Nesil kullandığınızda, yalnızca POSIX stili erişim denetim listelerini kullanabilirsiniz. Çalışma alanının yönetilen kimlik erişimini diğer güvenlik sorumluları gibi kaynaklara atayabilirsiniz. Daha fazla bilgi için bkz. Azure Data Lake Storage 1. Nesil'de erişim denetimi.

Azure Data Lake Storage 2. Nesil

veri deposu olarak Azure Data Lake Storage 2. Nesil kullandığınızda, sanal ağ içindeki veri erişimini denetlemek için hem Azure RBAC hem de POSIX stili erişim denetim listelerini (ACL' ler) kullanabilirsiniz.

  • Azure RBAC'yi kullanmak için: Datastore: Azure Depolama hesabı bölümünde açıklanan adımları izleyin. Data Lake Storage 2. Nesil, Azure Depolama temel alındığından, Azure RBAC kullanırken de aynı adımlar uygulanır.
  • ACL'leri kullanmak için: Çalışma alanının yönetilen kimliğine diğer güvenlik sorumluları gibi erişim atanabilir. Daha fazla bilgi için bkz . Dosyalar ve dizinler üzerindeki erişim denetimi listeleri.

Sonraki adımlar

Bir ağda stüdyoyu etkinleştirme hakkında bilgi için bkz. Azure sanal ağında Azure Machine Learning stüdyosu kullanma.