Share via

إدارة البيانات

  • مقالة

تعرف على كيفية إدارة الوصول إلى البيانات وكيفية المصادقة في Azure التعلم الآلي.

ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)

هام

هذه المقالة مخصصة لمسؤولي Azure الذين يرغبون في إنشاء البنية الأساسية المطلوبة لحل Azure التعلم الآلي.

مصادقة البيانات المستندة إلى بيانات الاعتماد

بشكل عام، تتضمن مصادقة البيانات المستندة إلى بيانات الاعتماد هذه الفحوصات:

  • هل تم تعيين دور للمستخدم الذي يصل إلى البيانات من مخزن البيانات المستند إلى بيانات الاعتماد مع التحكم في الوصول المستند إلى الدور (RBAC) الذي يحتوي على Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action؟

    • هذا الإذن مطلوب لاسترداد بيانات الاعتماد من مخزن البيانات للمستخدم.
    • الأدوار المضمنة التي تحتوي على هذا الإذن هي بالفعل Contributor أو Azure الذكاء الاصطناعي Developer أو Azure التعلم الآلي Data Scientist. بدلا من ذلك، إذا تم تطبيق دور مخصص، تحتاج إلى التأكد من إضافة هذا الإذن إلى هذا الدور المخصص.
    • يجب أن تعرف المستخدم المحدد الذي يحاول الوصول إلى البيانات. يمكن أن يكون مستخدما حقيقيا بهوية مستخدم أو كمبيوتر مع هوية مدارة للحساب (MSI). راجع القسم السيناريوهات وخيارات المصادقة لتحديد الهوية التي تحتاج إلى إضافة إذن لها.

  • هل يمكن لبيانات الاعتماد المخزنة (كيان الخدمة أو مفتاح الحساب أو رمز توقيع الوصول المشترك) الوصول إلى مورد البيانات؟

مصادقة البيانات المستندة إلى الهوية

بشكل عام، تتضمن مصادقة البيانات المستندة إلى الهوية هذه الفحوصات:

  • ما المستخدم الذي يريد الوصول إلى الموارد؟
    • اعتمادا على السياق الذي يتم فيه الوصول إلى البيانات، تتوفر أنواع مختلفة من المصادقة، على سبيل المثال:
      • هوية المستخدم
      • حساب الهوية المدارة
      • الهوية المدارة لمساحة العمل
    • تعمل الوظائف، بما في ذلك خيار مجموعة Generate Profile البيانات، على مورد حساب في اشتراكك، والوصول إلى البيانات من هذا الموقع. تحتاج الهوية المدارة للحساب إلى إذن لمورد التخزين، بدلا من هوية المستخدم الذي أرسل المهمة.
    • للمصادقة المستندة إلى هوية المستخدم، يجب أن تعرف المستخدم المحدد الذي حاول الوصول إلى مورد التخزين. لمزيد من المعلومات حول مصادقة المستخدم، راجع مصادقة Azure التعلم الآلي. لمزيد من المعلومات حول المصادقة على مستوى الخدمة، راجع المصادقة بين التعلم الآلي Azure والخدمات الأخرى.
  • هل هذا المستخدم لديه إذن للقراءة؟
    • هل تمتلك هوية المستخدم أو الهوية المدارة للحساب الأذونات اللازمة لمورد التخزين هذا؟ يتم منح الأذونات باستخدام Azure RBAC.
    • يقرأ قارئ حساب التخزين بيانات تعريف التخزين.
    • يقرأ Storage Blob Data Reader حاويات التخزين والكائنات الثنائية كبيرة الحجم ويسردها.
    • لمزيد من المعلومات، راجع أدوار Azure المضمنة للتخزين.
  • هل هذا المستخدم لديه إذن للكتابة؟
    • هل تمتلك هوية المستخدم أو الهوية المدارة للحساب الأذونات اللازمة لمورد التخزين هذا؟ يتم منح الأذونات باستخدام Azure RBAC.
    • يقرأ قارئ حساب التخزين بيانات تعريف التخزين.
    • يقوم Storage Blob Data Contributor بقراءة وكتابة وحذف حاويات تخزين Azure والكائنات الثنائية كبيرة الحجم.
    • لمزيد من المعلومات، راجع أدوار Azure المضمنة للتخزين.

عمليات فحص عامة أخرى للمصادقة

  • من أين يأتي الوصول؟
    • المستخدم: هل عنوان IP للعميل في نطاق الشبكة الظاهرية/الشبكة الفرعية؟
    • مساحة العمل: هل مساحة العمل عامة أم أن لها نقطة نهاية خاصة في شبكة ظاهرية/شبكة فرعية؟
    • التخزين: هل يسمح التخزين بالوصول العام، أم أنه يقيد الوصول من خلال نقطة نهاية خدمة أو نقطة نهاية خاصة؟
  • ما هي العملية التي سيتم تنفيذها؟
    • يعالج Azure التعلم الآلي عمليات الإنشاء والقراءة والتحديث والحذف (CRUD) على مخزن بيانات/مجموعة بيانات.
    • تتطلب عمليات الأرشفة على أصول البيانات في Azure التعلم الآلي studio عملية التحكم في الوصول استنادا إلى الدور هذه:Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
    • تنتقل مكالمات الوصول إلى البيانات (على سبيل المثال، المعاينة أو المخطط) إلى التخزين الأساسي وتحتاج إلى أذونات إضافية.
  • هل سيتم تشغيل هذه العملية في موارد حساب اشتراك Azure أو الموارد المستضافة في اشتراك Microsoft؟
    • تستخدم جميع الاستدعاءات إلى مجموعة البيانات وخدمات مخزن البيانات (باستثناء Generate Profile الخيار) الموارد المستضافة في اشتراك Microsoft لتشغيل العمليات.
    • تعمل الوظائف، بما في ذلك خيار مجموعة Generate Profile البيانات، على مورد حساب في اشتراكك والوصول إلى البيانات من هذا الموقع. تحتاج هوية الحساب إلى إذن لمورد التخزين، بدلا من هوية المستخدم الذي أرسل المهمة.

يوضح هذا الرسم التخطيطي التدفق العام لاستدعاء الوصول إلى البيانات. هنا، يحاول المستخدم إجراء مكالمة وصول إلى البيانات من خلال مساحة عمل التعلم الآلي، دون استخدام مورد حساب.

رسم تخطيطي يوضح تدفق المنطق عند الوصول إلى البيانات.

السيناريوهات وخيارات المصادقة

يسرد هذا الجدول الهويات التي يجب استخدامها لسيناريوهات معينة.

التكوين الجهاز الظاهري المحلي/دفتر الملاحظات ل SDK الوظيفة معاينة مجموعة البيانات استعراض مخزن البيانات
Credential + Workspace MSI بيانات اعتماد بيانات اعتماد مساحة العمل MSI بيانات الاعتماد (مفتاح الحساب فقط ورمز توقيع الوصول المشترك)
No Credential + Workspace MSI حساب هوية MSI/المستخدم حساب هوية MSI/المستخدم مساحة العمل MSI هوية المستخدم
Credential + No Workspace MSI بيانات اعتماد بيانات اعتماد بيانات الاعتماد (غير مدعومة لمعاينة مجموعة البيانات ضمن شبكة خاصة) بيانات الاعتماد (مفتاح الحساب فقط ورمز توقيع الوصول المشترك)
No Credential + No Workspace MSI حساب هوية MSI/المستخدم حساب هوية MSI/المستخدم هوية المستخدم هوية المستخدم

بالنسبة ل SDK V1، تستخدم مصادقة البيانات في الوظيفة دائما حساب MSI. بالنسبة إلى SDK V2، تعتمد مصادقة البيانات في الوظيفة على إعداد الوظيفة. يمكن أن يكون هوية المستخدم أو حساب MSI استنادا إلى الإعداد الخاص بك.

تلميح

للوصول إلى البيانات من خارج التعلم الآلي، على سبيل المثال، باستخدام Azure Storage Explorer، من المحتمل أن يعتمد هذا الوصول على هوية المستخدم. للحصول على معلومات محددة، راجع وثائق الأداة أو الخدمة التي تستخدمها. لمزيد من المعلومات حول كيفية عمل التعلم الآلي مع البيانات، راجع إعداد المصادقة بين Azure التعلم الآلي والخدمات الأخرى.

المتطلبات الخاصة بالشبكة الظاهرية

تساعدك المعلومات التالية على إعداد مصادقة البيانات للوصول إلى البيانات خلف شبكة ظاهرية من مساحة عمل التعلم الآلي.

إضافة أذونات حساب تخزين إلى هوية مدارة لمساحة عمل التعلم الآلي

عند استخدام حساب تخزين من الاستوديو، إذا كنت تريد رؤية معاينة مجموعة البيانات، يجب تمكين استخدام الهوية المدارة لمساحة العمل لمعاينة البيانات وتحديد المعلومات في Azure التعلم الآلي studio في إعداد مخزن البيانات. ثم أضف أدوار Azure RBAC التالية لحساب التخزين إلى الهوية المدارة لمساحة العمل:

  • قارئ بيانات Blob
  • إذا كان حساب التخزين يستخدم نقطة نهاية خاصة للاتصال بالشبكة الظاهرية، يجب منح دور القارئ لنقطة النهاية الخاصة لحساب التخزين إلى الهوية المدارة.

للمزيد من المعلومات، راجع استخدام استوديو التعلم الآلي من Microsoft Azure في شبكة Azure الظاهرية.

توضح الأقسام التالية قيود استخدام حساب تخزين، مع مساحة العمل الخاصة بك، في شبكة ظاهرية.

الاتصال الآمن بحساب تخزين

لتأمين الاتصال بين حسابات التعلم الآلي والتخزين، قم بتكوين التخزين لمنح حق الوصول إلى خدمات Azure الموثوق بها.

جدار حماية التخزين

عندما يوجد حساب تخزين خلف شبكة ظاهرية، يمكن استخدام جدار حماية التخزين عادة للسماح لعميلك بالاتصال مباشرة عبر الإنترنت. ومع ذلك، عند استخدام الاستوديو، لا يتصل العميل بحساب التخزين. خدمة التعلم الآلي التي تجعل الطلب يتصل بحساب التخزين. عنوان IP للخدمة غير موثق، ويتغير بشكل متكرر. لن يسمح تمكين جدار حماية التخزين للاستوديو بالوصول إلى حساب التخزين في تكوين شبكة ظاهرية.

نقطة نهاية Azure Storage

عندما تستخدم مساحة العمل نقطة نهاية خاصة، وكان حساب التخزين أيضا في الشبكة الظاهرية، تنشأ متطلبات تحقق إضافية عند استخدام الاستوديو:

  • إذا كان حساب التخزين يستخدم نقطة نهاية خدمة، يجب أن تكون نقطة النهاية الخاصة لمساحة العمل ونقطة نهاية خدمة التخزين موجودة في نفس الشبكة الفرعية للشبكة الظاهرية.
  • إذا كان حساب التخزين يستخدم نقطة نهاية خاصة، يجب أن تكون نقطة النهاية الخاصة لمساحة العمل ونقطة النهاية الخاصة للتخزين موجودة في نفس الشبكة الظاهرية. في هذه الحالة، يمكن أن تكون في شبكات فرعية مختلفة.

Azure Data Lake Storage الجيل الأول

عند استخدام Azure Data Lake Storage Gen1 كمخزن بيانات، يمكنك فقط استخدام قوائم التحكم في الوصول على غرار POSIX. يمكنك تعيين الوصول إلى الهوية المدارة لمساحة العمل إلى الموارد، مثل أي أساس أمان آخر. لمزيد من المعلومات، راجع التحكم في الوصول في Azure Data Lake Storage Gen1.

Azure Data Lake Storage Gen2

عند استخدام Azure Data Lake Storage Gen2 كمخزن بيانات، يمكنك استخدام كل من قوائم التحكم في الوصول استنادا إلى الدور من Azure وقوائم التحكم في الوصول على غرار POSIX (ACLs) للتحكم في الوصول إلى البيانات داخل شبكة ظاهرية.

  • لاستخدام Azure RBAC: اتبع الخطوات الموضحة في Datastore: حساب Azure Storage. يستند Data Lake Storage Gen2 إلى Azure Storage، لذلك تنطبق نفس الخطوات عند استخدام Azure RBAC.
  • لاستخدام ACLs: يمكن تعيين الهوية المدارة لمساحة العمل للوصول مثل أي أساس أمان آخر. للحصول على مزيد من المعلومات، راجع قوائم التحكم بالوصول على الملفات والدلائل.

الخطوات التالية

للحصول على معلومات حول كيفية تمكين الاستوديو في شبكة، راجع استخدام Azure التعلم الآلي studio في شبكة Azure الظاهرية.