Správa dat
Zjistěte, jak spravovat přístup k datům a jak se ověřovat ve službě Azure Machine Učení.
PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)
Důležité
Tento článek je určený pro správce Azure, kteří chtějí vytvořit požadovanou infrastrukturu pro řešení azure machine Učení.
Ověřování dat na základě přihlašovacích údajů
Ověřování dat na základě přihlašovacích údajů obecně zahrnuje tyto kontroly:
Má uživatel, který přistupuje k datům z úložiště dat založených na přihlašovacích údajích, přiřazen roli s řízením přístupu na základě role (RBAC), který obsahuje
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action
?- Toto oprávnění se vyžaduje k načtení přihlašovacích údajů z úložiště dat uživatele.
- Předdefinované role, které obsahují toto oprávnění, už jsou Přispěvatel, Azure AI Developer nebo Azure Machine Učení Datoví vědci. Případně pokud je použita vlastní role, musíte zajistit, aby se toto oprávnění přidalo do této vlastní role.
- Musíte vědět , který konkrétní uživatel se pokouší získat přístup k datům. Může to být skutečný uživatel s identitou uživatele nebo počítačem s výpočetní spravovanou identitou (MSI). Informace o identitě, pro kterou potřebujete přidat oprávnění, najdete v části Scénáře a možnosti ověřování.
Mají uložené přihlašovací údaje (instanční objekt, klíč účtu nebo token sdíleného přístupového podpisu) přístup k datovému prostředku?
Ověřování dat na základě identit
Ověřování dat na základě identit obecně zahrnuje tyto kontroly:
- Který uživatel chce získat přístup k prostředkům?
- V závislosti na kontextu, kdy se k datům přistupuje, jsou k dispozici různé typy ověřování, například:
- Identita uživatele
- Spravovaná identita služby Compute
- Spravovaná identita pracovního prostoru
- Úlohy, včetně možnosti datové sady
Generate Profile
, běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Spravovaná identita výpočetních prostředků potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal. - Pro ověřování na základě identity uživatele musíte vědět , který konkrétní uživatel se pokusil získat přístup k prostředku úložiště. Další informace o ověřování uživatelů najdete v tématu Ověřování pro Učení počítače Azure. Další informace o ověřování na úrovni služby najdete v tématu Ověřování mezi službou Azure Machine Učení a dalšími službami.
- V závislosti na kontextu, kdy se k datům přistupuje, jsou k dispozici různé typy ověřování, například:
- Má tento uživatel oprávnění ke čtení?
- Má identita uživatele nebo spravovaná výpočetní identita potřebná oprávnění pro tento prostředek úložiště? Oprávnění se uděluje pomocí Azure RBAC.
- Čtenář účtu úložiště čte metadata úložiště.
- Čtenář dat objektů blob služby Storage čte a vypíše kontejnery a objekty blob úložiště.
- Další informace najdete v tématu Předdefinované role Azure pro úložiště.
- Má tento uživatel oprávnění k zápisu?
- Má identita uživatele nebo spravovaná výpočetní identita potřebná oprávnění pro tento prostředek úložiště? Oprávnění se uděluje pomocí Azure RBAC.
- Čtenář účtu úložiště čte metadata úložiště.
- Přispěvatel dat objektů blob služby Storage čte, zapisuje a odstraňuje kontejnery a objekty blob služby Azure Storage.
- Další informace najdete v tématu Předdefinované role Azure pro úložiště.
Další obecné kontroly ověřování
- Odkud přístup pochází?
- Uživatel: Je IP adresa klienta v rozsahu virtuální sítě nebo podsítě?
- Pracovní prostor: Je pracovní prostor veřejný nebo má privátní koncový bod ve virtuální síti nebo podsíti?
- Úložiště: Povoluje úložiště veřejný přístup nebo omezuje přístup prostřednictvím koncového bodu služby nebo privátního koncového bodu?
- Jaká operace se provede?
- Azure Machine Učení zpracovává operace vytvoření, čtení, aktualizace a odstranění (CRUD) v úložišti dat nebo datové sadě.
- Operace archivace datových prostředků ve studio Azure Machine Learning vyžadují tuto operaci RBAC:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
- Volání přístupu k datům (například Preview nebo schéma) přejdou do souvisejícího úložiště a potřebují další oprávnění.
- Spustí se tato operace ve výpočetních prostředcích nebo prostředcích předplatného Azure hostovaných v předplatném Microsoftu?
- Všechna volání datových sad a služeb úložiště dat (s výjimkou
Generate Profile
možnosti) ke spuštění operací používají prostředky hostované v předplatném Microsoftu. - Úlohy, včetně možnosti datové sady
Generate Profile
, běží na výpočetním prostředku ve vašem předplatném a přistupují k datům z daného umístění. Výpočetní identita potřebuje oprávnění k prostředku úložiště místo identity uživatele, který úlohu odeslal.
- Všechna volání datových sad a služeb úložiště dat (s výjimkou
Tento diagram znázorňuje obecný tok volání přístupu k datům. V této části se uživatel pokusí volat přístup k datům prostřednictvím pracovního prostoru Učení počítače bez použití výpočetního prostředku.
Scénáře a možnosti ověřování
Tato tabulka obsahuje seznam identit, které se mají použít pro konkrétní scénáře.
Konfigurace | Místní sada SDK nebo virtuální počítač poznámkového bloku | Úloha | Náhled datové sady | Procházení úložiště dat |
---|---|---|---|---|
Přihlašovací údaje + MSI pracovního prostoru | Reference | Reference | MSI pracovního prostoru | Přihlašovací údaje (pouze klíč účtu a token sdíleného přístupového podpisu) |
Bez přihlašovacích údajů + MSI pracovního prostoru | Výpočetní msi / identita uživatele | Výpočetní msi / identita uživatele | MSI pracovního prostoru | Identita uživatele |
Přihlašovací údaje + Bez MSI pracovního prostoru | Reference | Reference | Přihlašovací údaje (nepodporuje se pro datovou sadu Preview v privátní síti) | Přihlašovací údaje (pouze klíč účtu a token sdíleného přístupového podpisu) |
Žádné přihlašovací údaje + Žádná MSI pracovního prostoru | Výpočetní msi / identita uživatele | Výpočetní msi / identita uživatele | Identita uživatele | Identita uživatele |
V případě sady SDK V1 ověřování dat v úloze vždy používá výpočetní MSI. V případě sady SDK V2 závisí ověřování dat v úloze na nastavení úlohy. Může to být identita uživatele nebo výpočetní MSI na základě vašeho nastavení.
Tip
Pokud chcete přistupovat k datům mimo počítač Učení, například s Průzkumník služby Azure Storage, bude tento přístup pravděpodobně záviset na identitě uživatele. Konkrétní informace najdete v dokumentaci k nástroji nebo službě, kterou používáte. Další informace o tom, jak machine Učení funguje s daty, najdete v tématu Nastavení ověřování mezi službou Azure Machine Učení a dalšími službami.
Specifické požadavky pro virtuální síť
Následující informace vám pomůžou nastavit ověřování dat pro přístup k datům za virtuální sítí z pracovního prostoru Učení počítače.
Přidání oprávnění účtu úložiště ke spravované identitě pracovního prostoru Učení počítači
Pokud použijete účet úložiště ze studia, pokud chcete zobrazit datovou sadu Preview, musíte v nastavení úložiště dat povolit spravovanou identitu pracovního prostoru pro náhled dat a profilaci v studio Azure Machine Learning. Pak do spravované identity pracovního prostoru přidejte následující role Azure RBAC účtu úložiště:
- Čtenář dat objektů blob
- Pokud účet úložiště používá privátní koncový bod pro připojení k virtuální síti, musíte spravované identitě udělit roli Čtenář pro privátní koncový bod účtu úložiště.
Další informace najdete v tématu Použití studio Azure Machine Learning ve virtuální síti Azure.
Následující části popisují omezení používání účtu úložiště s pracovním prostorem ve virtuální síti.
Zabezpečená komunikace s účtem úložiště
Pokud chcete zabezpečit komunikaci mezi počítači Učení a účty úložiště, nakonfigurujte úložiště tak, aby udělil přístup k důvěryhodným službám Azure.
Brána firewall služby Azure Storage
Pokud je účet úložiště umístěný za virtuální sítí, brána firewall úložiště se dá normálně použít k tomu, aby se klient mohl přímo připojit přes internet. Pokud ale používáte studio, váš klient se k účtu úložiště nepřipojí. Služba machine Učení, která požadavek připojí k účtu úložiště. IP adresa služby není zdokumentovaná a často se mění. Povolení brány firewall úložiště nepovolí studiu přístup k účtu úložiště v konfiguraci virtuální sítě.
Typ koncového bodu služby Azure Storage
Pokud pracovní prostor používá privátní koncový bod a účet úložiště je také ve virtuální síti, při použití studia se objeví další požadavky na ověření:
- Pokud účet úložiště používá koncový bod služby, musí se privátní koncový bod pracovního prostoru a koncový bod služby úložiště nacházet ve stejné podsíti virtuální sítě.
- Pokud účet úložiště používá privátní koncový bod, musí být privátní koncový bod pracovního prostoru a privátní koncový bod úložiště ve stejné virtuální síti. V tomto případě se můžou nacházet v různých podsítích.
Azure Data Lake Storage Gen1
Pokud jako úložiště dat používáte Azure Data Lake Storage Gen1, můžete použít pouze seznamy řízení přístupu ve stylu POSIX. Spravovaný přístup k prostředkům pracovního prostoru můžete přiřadit stejně jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Řízení přístupu v Azure Data Lake Storage Gen1.
Azure Data Lake Storage Gen2
Pokud jako úložiště dat používáte Azure Data Lake Storage Gen2, můžete k řízení přístupu k datům ve virtuální síti použít seznamy řízení přístupu ve stylu Azure RBAC i seznamy řízení přístupu ve stylu POSIX.
- Použití Azure RBAC: Postupujte podle kroků popsaných v úložišti dat: účet Azure Storage. Data Lake Storage Gen2 je založená na Službě Azure Storage, takže stejný postup platí i při použití Azure RBAC.
- Použití seznamů ACL: Spravovaná identita pracovního prostoru může být přiřazena jako jakýkoli jiný objekt zabezpečení. Další informace najdete v tématu Seznamy řízení přístupu k souborům a adresářům.
Další kroky
Informace o povolení studia v síti najdete v tématu Použití studio Azure Machine Learning ve virtuální síti Azure.