Share via

Správa dat

  • Článek

Zjistěte, jak spravovat přístup k datům a jak se ověřovat ve službě Azure Machine Učení.

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Důležité

Tento článek je určený pro správce Azure, kteří chtějí vytvořit požadovanou infrastrukturu pro řešení azure machine Učení.

Ověřování dat na základě přihlašovacích údajů

Ověřování dat na základě přihlašovacích údajů obecně zahrnuje tyto kontroly:

  • Má uživatel, který přistupuje k datům z úložiště dat založených na přihlašovacích údajích, přiřazen roli s řízením přístupu na základě role (RBAC), který obsahuje Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action?

    • Toto oprávnění se vyžaduje k načtení přihlašovacích údajů z úložiště dat uživatele.
    • Předdefinované role, které obsahují toto oprávnění, už jsou Přispěvatel, Azure AI Developer nebo Azure Machine Učení Datoví vědci. Případně pokud je použita vlastní role, musíte zajistit, aby se toto oprávnění přidalo do této vlastní role.
    • Musíte vědět , který konkrétní uživatel se pokouší získat přístup k datům. Může to být skutečný uživatel s identitou uživatele nebo počítačem s výpočetní spravovanou identitou (MSI). Informace o identitě, pro kterou potřebujete přidat oprávnění, najdete v části Scénáře a možnosti ověřování.

  • Mají uložené přihlašovací údaje (instanční objekt, klíč účtu nebo token sdíleného přístupového podpisu) přístup k datovému prostředku?

Ověřování dat na základě identit

Ověřování dat na základě identit obecně zahrnuje tyto kontroly:

  • Který uživatel chce získat přístup k prostředkům?
    • V závislosti na kontextu, kdy se k datům přistupuje, jsou k dispozici různé typy ověřování, například:
      • Identita uživatele
      • Spravovaná identita služby Compute
      • Spravovaná identita pracovního prostoru
    • Úlohy, včetně možnosti datové sady Generate Profile , běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Spravovaná identita výpočetních prostředků potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal.
    • Pro ověřování na základě identity uživatele musíte vědět , který konkrétní uživatel se pokusil získat přístup k prostředku úložiště. Další informace o ověřování uživatelů najdete v tématu Ověřování pro Učení počítače Azure. Další informace o ověřování na úrovni služby najdete v tématu Ověřování mezi službou Azure Machine Učení a dalšími službami.
  • Má tento uživatel oprávnění ke čtení?
    • Má identita uživatele nebo spravovaná výpočetní identita potřebná oprávnění pro tento prostředek úložiště? Oprávnění se uděluje pomocí Azure RBAC.
    • Čtenář účtu úložiště čte metadata úložiště.
    • Čtenář dat objektů blob služby Storage čte a vypíše kontejnery a objekty blob úložiště.
    • Další informace najdete v tématu Předdefinované role Azure pro úložiště.
  • Má tento uživatel oprávnění k zápisu?
    • Má identita uživatele nebo spravovaná výpočetní identita potřebná oprávnění pro tento prostředek úložiště? Oprávnění se uděluje pomocí Azure RBAC.
    • Čtenář účtu úložiště čte metadata úložiště.
    • Přispěvatel dat objektů blob služby Storage čte, zapisuje a odstraňuje kontejnery a objekty blob služby Azure Storage.
    • Další informace najdete v tématu Předdefinované role Azure pro úložiště.

Další obecné kontroly ověřování

  • Odkud přístup pochází?
    • Uživatel: Je IP adresa klienta v rozsahu virtuální sítě nebo podsítě?
    • Pracovní prostor: Je pracovní prostor veřejný nebo má privátní koncový bod ve virtuální síti nebo podsíti?
    • Úložiště: Povoluje úložiště veřejný přístup nebo omezuje přístup prostřednictvím koncového bodu služby nebo privátního koncového bodu?
  • Jaká operace se provede?
    • Azure Machine Učení zpracovává operace vytvoření, čtení, aktualizace a odstranění (CRUD) v úložišti dat nebo datové sadě.
    • Operace archivace datových prostředků ve studio Azure Machine Learning vyžadují tuto operaci RBAC:Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
    • Volání přístupu k datům (například Preview nebo schéma) přejdou do souvisejícího úložiště a potřebují další oprávnění.
  • Spustí se tato operace ve výpočetních prostředcích nebo prostředcích předplatného Azure hostovaných v předplatném Microsoftu?
    • Všechna volání datových sad a služeb úložiště dat (s výjimkou Generate Profile možnosti) ke spuštění operací používají prostředky hostované v předplatném Microsoftu.
    • Úlohy, včetně možnosti datové sady Generate Profile , běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Výpočetní identita potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal.

Tento diagram znázorňuje obecný tok volání přístupu k datům. V této části se uživatel pokusí volat přístup k datům prostřednictvím pracovního prostoru Učení počítače bez použití výpočetního prostředku.

Diagram znázorňující tok logiky při přístupu k datům

Scénáře a možnosti ověřování

Tato tabulka obsahuje seznam identit, které se mají použít pro konkrétní scénáře.

Konfigurace Místní sada SDK nebo virtuální počítač poznámkového bloku Úloha Náhled datové sady Procházení úložiště dat
Přihlašovací údaje + MSI pracovního prostoru Reference Reference MSI pracovního prostoru Přihlašovací údaje (pouze klíč účtu a token sdíleného přístupového podpisu)
Bez přihlašovacích údajů + MSI pracovního prostoru Výpočetní msi / identita uživatele Výpočetní msi / identita uživatele MSI pracovního prostoru Identita uživatele
Přihlašovací údaje + Bez MSI pracovního prostoru Reference Reference Přihlašovací údaje (nepodporuje se pro datovou sadu Preview v privátní síti) Přihlašovací údaje (pouze klíč účtu a token sdíleného přístupového podpisu)
Žádné přihlašovací údaje + Žádná MSI pracovního prostoru Výpočetní msi / identita uživatele Výpočetní msi / identita uživatele Identita uživatele Identita uživatele

V případě sady SDK V1 ověřování dat v úloze vždy používá výpočetní MSI. V případě sady SDK V2 závisí ověřování dat v úloze na nastavení úlohy. Může to být identita uživatele nebo výpočetní MSI na základě vašeho nastavení.

Tip

Pokud chcete přistupovat k datům mimo počítač Učení, například s Průzkumník služby Azure Storage, bude tento přístup pravděpodobně záviset na identitě uživatele. Konkrétní informace najdete v dokumentaci k nástroji nebo službě, kterou používáte. Další informace o tom, jak machine Učení funguje s daty, najdete v tématu Nastavení ověřování mezi službou Azure Machine Učení a dalšími službami.

Specifické požadavky pro virtuální síť

Následující informace vám pomůžou nastavit ověřování dat pro přístup k datům za virtuální sítí z pracovního prostoru Učení počítače.

Přidání oprávnění účtu úložiště ke spravované identitě pracovního prostoru Učení počítači

Pokud použijete účet úložiště ze studia, pokud chcete zobrazit datovou sadu Preview, musíte v nastavení úložiště dat povolit spravovanou identitu pracovního prostoru pro náhled dat a profilaci v studio Azure Machine Learning. Pak do spravované identity pracovního prostoru přidejte následující role Azure RBAC účtu úložiště:

  • Čtenář dat objektů blob
  • Pokud účet úložiště používá privátní koncový bod pro připojení k virtuální síti, musíte spravované identitě udělit roli Čtenář pro privátní koncový bod účtu úložiště.

Další informace najdete v tématu Použití studio Azure Machine Learning ve virtuální síti Azure.

Následující části popisují omezení používání účtu úložiště s pracovním prostorem ve virtuální síti.

Zabezpečená komunikace s účtem úložiště

Pokud chcete zabezpečit komunikaci mezi počítači Učení a účty úložiště, nakonfigurujte úložiště tak, aby udělil přístup k důvěryhodným službám Azure.

Brána firewall služby Azure Storage

Pokud je účet úložiště umístěný za virtuální sítí, brána firewall úložiště se dá normálně použít k tomu, aby se klient mohl přímo připojit přes internet. Pokud ale používáte studio, váš klient se k účtu úložiště nepřipojí. Služba machine Učení, která požadavek připojí k účtu úložiště. IP adresa služby není zdokumentovaná a často se mění. Povolení brány firewall úložiště nepovolí studiu přístup k účtu úložiště v konfiguraci virtuální sítě.

Typ koncového bodu služby Azure Storage

Pokud pracovní prostor používá privátní koncový bod a účet úložiště je také ve virtuální síti, při použití studia se objeví další požadavky na ověření:

  • Pokud účet úložiště používá koncový bod služby, musí se privátní koncový bod pracovního prostoru a koncový bod služby úložiště nacházet ve stejné podsíti virtuální sítě.
  • Pokud účet úložiště používá privátní koncový bod, musí být privátní koncový bod pracovního prostoru a privátní koncový bod úložiště ve stejné virtuální síti. V tomto případě se můžou nacházet v různých podsítích.

Azure Data Lake Storage Gen1

Pokud jako úložiště dat používáte Azure Data Lake Storage Gen1, můžete použít pouze seznamy řízení přístupu ve stylu POSIX. Spravovaný přístup k prostředkům pracovního prostoru můžete přiřadit stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Řízení přístupu v Azure Data Lake Storage Gen1.

Azure Data Lake Storage Gen2

Pokud jako úložiště dat používáte Azure Data Lake Storage Gen2, můžete k řízení přístupu k datům ve virtuální síti použít seznamy řízení přístupu ve stylu Azure RBAC i seznamy řízení přístupu ve stylu POSIX.

  • Použití Azure RBAC: Postupujte podle kroků popsaných v úložišti dat: účet Azure Storage. Data Lake Storage Gen2 je založená na Službě Azure Storage, takže stejný postup platí i při použití Azure RBAC.
  • Použití seznamů ACL: Spravovaná identita pracovního prostoru může být přiřazena jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Seznamy řízení přístupu k souborům a adresářům.

Další kroky

Informace o povolení studia v síti najdete v tématu Použití studio Azure Machine Learning ve virtuální síti Azure.