Klíče spravované zákazníkem pro službu Azure Machine Učení
Služba Azure Machine Learning je postavená na několika jiných službách Azure. I když se uložená data šifrují prostřednictvím šifrovacích klíčů, které Microsoft poskytuje, můžete zvýšit zabezpečení tím, že také poskytnete vlastní klíče (spravované zákazníkem). Zadané klíče jsou uložené ve službě Azure Key Vault. Vaše data se ukládají na sadu dalších prostředků, které spravujete ve svém předplatném Azure.
Kromě klíčů spravovaných zákazníkem poskytuje Učení azure machine hbi_workspace příznak. Povolením tohoto příznaku snížíte množství dat, která Microsoft shromažďuje pro diagnostické účely, a umožňuje dodatečné šifrování v prostředích spravovaných Microsoftem. Tento příznak také umožňuje následující chování:
- Spustí šifrování místního pomocného disku ve výpočetním clusteru Azure Učení, pokud jste v daném předplatném nevytvořili žádné předchozí clustery. V opačném případě je potřeba vytvořit lístek podpory, který umožní šifrování pomocného disku pro výpočetní clustery.
- Vyčistí místní škrábaný disk mezi úlohami.
- Bezpečně předává přihlašovací údaje pro váš účet úložiště, registr kontejnerů a účet SSH (Secure Shell) z úrovně spouštění do výpočetních clusterů pomocí vašeho trezoru klíčů.
Příznak hbi_workspace nemá vliv na šifrování během přenosu. Ovlivňuje pouze šifrování neaktivních uložených dat.
Požadavky
- Předplatné Azure.
- Instance služby Azure Key Vault. Trezor klíčů obsahuje klíče pro šifrování služeb.
Trezor klíčů musí povolit obnovitelné odstranění a ochranu před vymazáním. Spravovaná identita pro služby, které pomáháte zabezpečit pomocí klíče spravovaného zákazníkem, musí mít k trezoru klíčů následující oprávnění:
- Zabalit klíč
- Rozbalit klíč
- Získat
Spravovaná identita služby Azure Cosmos DB by například musela mít tato oprávnění k trezoru klíčů.
Omezení
- Po vytvoření pracovního prostoru je možné šifrovací klíč spravovaný zákazníkem pro prostředky, na které pracovní prostor závisí, aktualizovat pouze na jiný klíč v původním prostředku služby Azure Key Vault.
- Šifrovaná data se ukládají na prostředky ve skupině prostředků spravované Microsoftem ve vašem předplatném. Tyto prostředky nemůžete předem vytvářet ani převádět vlastnictví těchto prostředků na vás. Životní cyklus dat se spravuje nepřímo prostřednictvím rozhraní API služby Azure Machine Učení při vytváření objektů ve službě Azure Machine Učení.
- Nemůžete odstranit prostředky spravované Microsoftem, které používáte pro klíče spravované zákazníkem, aniž byste také odstranili pracovní prostor.
- Disk s operačním systémem výpočetního clusteru nemůžete zašifrovat pomocí klíčů spravovaných zákazníkem. Musíte použít klíče spravované Microsoftem.
Upozorňující
Neodstraňovat skupinu prostředků obsahující instanci služby Azure Cosmos DB ani žádné prostředky, které se automaticky vytvoří v této skupině. Pokud potřebujete odstranit skupinu prostředků nebo služby spravované Microsoftem, musíte odstranit pracovní prostor azure Učení, který ji používá. Prostředky skupiny prostředků se odstraní, když odstraníte přidružený pracovní prostor.
Úložiště metadat pracovního prostoru
Při používání vlastního šifrovacího klíče se metadata služby ukládají na vyhrazené prostředky ve vašem předplatném Azure. Microsoft pro tento účel vytvoří v předplatném samostatnou skupinu prostředků: azureml-rg-workspacename_GUID. Prostředky v této spravované skupině prostředků může upravovat pouze Microsoft.
Microsoft vytvoří následující prostředky pro ukládání metadat pro váš pracovní prostor:
| Service | Využití | Příklad dat |
|---|---|---|
| Azure Cosmos DB | Ukládá data historie úloh, výpočetní metadata a metadata prostředků. | Data mohou zahrnovat název úlohy, stav, pořadové číslo a stav; název výpočetního clusteru, počet jader a počet uzlů; názvy a značky úložiště dat a popisy prostředků, jako jsou modely; a názvy popisků dat. |
| Azure AI Search | Ukládá indexy, které pomáhají dotazovat se na obsah strojového učení. | Tyto indexy jsou založené na datech uložených ve službě Azure Cosmos DB. |
| Azure Storage | Ukládá metadata související s daty kanálu Azure Machine Učení. | Data můžou zahrnovat názvy kanálů návrháře, rozložení kanálu a vlastnosti spuštění. |
Z pohledu správy životního cyklu dat se data v předchozích prostředcích vytvoří a odstraní při vytváření a odstraňování odpovídajících objektů ve službě Azure Machine Učení.
Váš pracovní prostor Azure Machine Učení čte a zapisuje data pomocí své spravované identity. Tato identita má udělený přístup k prostředkům prostřednictvím přiřazení role (řízení přístupu na základě role v Azure) u datových prostředků. Šifrovací klíč, který zadáte, slouží k šifrování dat uložených na prostředcích spravovaných Microsoftem. Používá se také k vytváření indexů pro Azure AI Search za běhu.
Při vytváření koncového bodu privátního propojení ve vašem pracovním prostoru se konfigurují další síťové ovládací prvky, které umožňují příchozí připojení. Tato konfigurace zahrnuje vytvoření připojení koncového bodu privátního propojení k instanci služby Azure Cosmos DB. Přístup k síti je omezený jenom na důvěryhodné služby Microsoft.
Klíče spravované zákazníkem
Pokud nepoužíváte klíč spravovaný zákazníkem, Microsoft vytvoří a spravuje prostředky v předplatném Azure vlastněné Microsoftem a k šifrování dat používá klíč spravovaný Microsoftem.
Když použijete klíč spravovaný zákazníkem, prostředky se nacházejí ve vašem předplatném Azure a zašifrují se pomocí vašeho klíče. I když tyto prostředky existují ve vašem předplatném, Spravuje je Microsoft. Automaticky se vytvoří a nakonfigurují, když vytvoříte pracovní prostor Azure Machine Learning.
Tyto prostředky spravované Microsoftem se nacházejí v nové skupině prostředků Azure vytvořené ve vašem předplatném. Tato skupina prostředků je oddělená od skupiny prostředků pro váš pracovní prostor. Obsahuje prostředky spravované Microsoftem, se kterými se váš klíč používá. Vzorec pro pojmenování skupiny prostředků je: <Azure Machine Learning workspace resource group name><GUID>.
Pokud váš pracovní prostor azure Učení používá privátní koncový bod, tato skupina prostředků obsahuje také virtuální síť Azure spravovanou Microsoftem. Tato virtuální síť pomáhá zabezpečit komunikaci mezi spravovanými službami a pracovním prostorem. Nemůžete poskytnout vlastní virtuální síť pro použití s prostředky spravovanými Microsoftem. Nemůžete také upravit virtuální síť. Nemůžete například změnit rozsah IP adres, který používá.
Důležité
Pokud vaše předplatné nemá dostatečnou kvótu pro tyto služby, dojde k selhání.
Pokud používáte klíč spravovaný zákazníkem, náklady na vaše předplatné jsou vyšší, protože tyto prostředky jsou ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.
Úložiště výpočetních dat
Azure Machine Učení používá výpočetní prostředky k trénování a nasazování modelů strojového učení. Následující tabulka popisuje možnosti výpočetních prostředků a způsob šifrování dat:
| Compute | Šifrování |
|---|---|
| Azure Container Instances | Data se šifrují pomocí klíče spravovaného Microsoftem nebo klíče spravovaného zákazníkem. Další informace najdete v tématu Šifrování dat nasazení. |
| Azure Kubernetes Service | Data se šifrují pomocí klíče spravovaného Microsoftem nebo klíče spravovaného zákazníkem. Další informace najdete v tématu Používání vlastních klíčů s disky Azure ve službě Azure Kubernetes Service. |
| Výpočetní instance Azure Machine Learningu | Pokud pro pracovní prostor povolíte hbi_workspace příznak, místní pomocný disk se zašifruje. |
| Výpočetní cluster Azure Machine Učení | Disk s operačním systémem je šifrovaný ve službě Azure Storage pomocí klíčů spravovaných Microsoftem. Dočasný disk je zašifrovaný, pokud povolíte hbi_workspace příznak pro pracovní prostor. |
| Compute | Šifrování |
|---|---|
| Azure Kubernetes Service | Data se šifrují pomocí klíče spravovaného Microsoftem nebo klíče spravovaného zákazníkem. Další informace najdete v tématu Používání vlastních klíčů s disky Azure ve službě Azure Kubernetes Service. |
| Výpočetní instance Azure Machine Learningu | Pokud pro pracovní prostor povolíte hbi_workspace příznak, místní pomocný disk se zašifruje. |
| Výpočetní cluster Azure Machine Učení | Disk s operačním systémem je šifrovaný ve službě Azure Storage pomocí klíčů spravovaných Microsoftem. Dočasný disk je zašifrovaný, pokud povolíte hbi_workspace příznak pro pracovní prostor. |
Výpočtový cluster
Výpočetní clustery mají místní diskové úložiště s operačním systémem a během úlohy můžou připojit data z účtů úložiště ve vašem předplatném. Když připojujete data z vlastního účtu úložiště v úloze, můžete u těchto účtů úložiště povolit klíče spravované zákazníkem pro šifrování.
Disk s operačním systémem pro každý výpočetní uzel uložený ve službě Azure Storage je vždy šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště Azure Machine Učení a ne pomocí klíčů spravovaných zákazníkem. Tento cílový výpočetní objekt je dočasný, takže po vertikálním snížení kapacity clusteru se odstraní data uložená na disku s operačním systémem. Clustery se obvykle škálují dolů, pokud nejsou žádné úlohy zařazené do fronty, automatické škálování je zapnuté a minimální počet uzlů je nastavený na nulu. Základní virtuální počítač se zruší a disk s operačním systémem se odstraní.
Azure Disk Encryption není pro disk s operačním systémem podporovaný. Každý virtuální počítač má také místní dočasný disk pro operace operačního systému. Pokud chcete, můžete disk použít k přípravě trénovacích dat. Pokud vytvoříte pracovní prostor s parametrem nastaveným hbi_workspace na TRUE, dočasný disk se zašifruje. Toto prostředí je krátkodobé (pouze během vaší úlohy) a podpora šifrování je omezená pouze na klíče spravované systémem.
Výpočetní instance
Disk s operačním systémem pro výpočetní instanci je šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště Azure Machine Učení. Pokud vytvoříte pracovní prostor s parametrem hbi_workspace nastaveným na TRUE, místní dočasný disk ve výpočetní instanci se zašifruje pomocí klíčů spravovaných Microsoftem. Šifrování klíče spravovaného zákazníkem není podporováno pro operační systém a dočasné disky.
příznak hbi_workspace
Příznak můžete nastavit hbi_workspace pouze při vytváření pracovního prostoru. U existujícího pracovního prostoru ho nemůžete změnit.
Když tento příznak nastavíte na TRUE, může se zvýšit složitost řešení problémů, protože do Microsoftu se odesílají méně telemetrických dat. Existuje menší přehled o úspěšnosti nebo typech problémů. Microsoft nemusí být schopen reagovat jako proaktivně, pokud je TRUEtento příznak .
Pokud chcete příznak povolit hbi_workspace při vytváření pracovního prostoru azure machine Učení, postupujte podle kroků v jednom z následujících článků:
- Vytvoření a správa pracovního prostoru pomocí webu Azure Portal nebo sady Python SDK
- Vytvoření a správa pracovního prostoru pomocí Azure CLI
- Vytvoření pracovního prostoru pomocí Terraformu HashiCorp
- Vytvoření pracovního prostoru pomocí šablon Azure Resource Manageru