Kunci yang dikelola pelanggan untuk Azure Machine Learning
Azure Machine Learning dibuat di atas beberapa layanan Azure. Sementara data disimpan dengan aman menggunakan kunci enkripsi yang disediakan Microsoft, Anda dapat meningkatkan keamanan dengan juga menyediakan kunci Anda sendiri (yang dikelola pelanggan). Kunci yang Anda berikan disimpan dengan aman menggunakan Azure Key Vault.
Kunci yang dikelola pelanggan digunakan dengan layanan berikut yang diandalkan oleh Azure Machine Learning:
| Layanan | Fungsinya |
|---|---|
| Azure Cosmos DB | Menyimpan metadata untuk Azure Machine Learning |
| Azure Cognitive Search | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Akun Azure Storage | Menyimpan metadata ruang kerja untuk Azure Machine Learning |
| Instans Kontainer Azure | Meng-hosting model terlatih sebagai titik akhir inferensi |
| Azure Kubernetes Service | Meng-hosting model terlatih sebagai titik akhir inferensi |
Tip
- Azure Cosmos DB, Cognitive Search, dan Akun Penyimpanan diamankan menggunakan kunci yang sama. Anda dapat menggunakan kunci yang berbeda untuk Azure Kubernetes Service dan Instans Kontainer.
- Untuk menggunakan kunci yang dikelola pelanggan dengan Azure Cosmos DB, Cognitive Search, dan akun Penyimpanan, kunci disediakan saat Anda membuat ruang kerja. Kunci yang digunakan dengan Instans Kontainer Azure dan Layanan Kubernetes disediakan saat mengonfigurasi sumber daya tersebut.
Selain kunci yang dikelola pelanggan, Azure Machine Learning juga menyediakan bendera hbi_workspace. Mengaktifkan tanda ini akan mengurangi jumlah data yang dikumpulkan Microsoft untuk tujuan diagnostik dan mengaktifkan enkripsi ekstra di lingkungan yang dikelola Microsoft. Bendera ini juga memungkinkan perilaku berikut:
- Mulai mengenkripsi disk awal lokal di kluster komputasi Azure Machine Learning Anda, asalkan Anda belum membuat kluster sebelumnya dalam langganan itu. Jika tidak, Anda perlu menaikkan tiket dukungan untuk mengaktifkan enkripsi disk awal kluster komputasi Anda.
- Mengosongkan disk awal lokal Anda di antara pekerjaan.
- Meneruskan info masuk dengan aman untuk akun penyimpanan, registri kontainer, dan akun SSH Anda dari lapisan eksekusi ke kluster komputasi menggunakan brankas kunci Anda.
Tip
Bendera hbi_workspace tidak memengaruhi enkripsi dalam transit, hanya enkripsi saat tidak aktif.
Prasyarat
Langganan Azure.
Instans Azure Key Vault. Brankas kunci berisi kunci yang digunakan untuk mengenkripsi layanan Anda.
Instans brankas kunci harus mengaktifkan perlindungan terhadap penghapusan sementara dan penghapusan menyeluruh.
Identitas terkelola untuk layanan yang diamankan oleh kunci yang dikelola pelanggan harus memiliki izin berikut di brankas kunci:
- kunci bungkus
- kunci buka bungkus
- get
Misalnya, identitas terkelola untuk Azure Cosmos DB harus memiliki izin tersebut ke brankas kunci.
Batasan
- Kunci yang dikelola pelanggan untuk sumber daya yang bergantung pada ruang kerja tidak dapat diperbarui setelah pembuatan ruang kerja.
- Sumber daya yang dikelola oleh Microsoft dalam langganan Anda tidak dapat mentransfer kepemilikan kepada Anda.
- Anda tidak dapat menghapus sumber daya yang dikelola Microsoft yang digunakan untuk kunci yang dikelola pelanggan tanpa juga menghapus ruang kerja Anda.
Cara metadata ruang kerja disimpan
Sumber daya berikut menyimpan metadata untuk ruang kerja Anda:
| Layanan | Cara menggunakannya |
|---|---|
| Azure Cosmos DB | Menyimpan data riwayat pekerjaan. |
| Azure Cognitive Search | Menyimpan indeks yang digunakan untuk membantu mengkueri konten pembelajaran mesin Anda. |
| Akun Azure Storage | Menyimpan metadata lain seperti data alur Azure Machine Learning. |
Ruang kerja Azure Machine Learning Anda membaca dan menulis data menggunakan identitas terkelolanya. Identitas ini diberikan akses ke sumber daya menggunakan penetapan peran (kontrol akses berbasis peran Azure) pada sumber daya data. Kunci enkripsi yang Anda berikan digunakan untuk mengenkripsi data yang disimpan pada sumber daya yang dikelola Microsoft. Ini juga digunakan untuk membuat indeks untuk Azure Cognitive Search, yang dibuat saat runtime.
Kunci yang dikelola pelanggan
Saat Anda tidak menggunakan kunci yang dikelola pelanggan, Microsoft membuat dan mengelola sumber daya ini dalam langganan Microsoft Azure yang dimiliki dan menggunakan kunci yang dikelola Microsoft guna mengenkripsi data.
Saat Anda menggunakan kunci yang dikelola pelanggan, sumber daya ini ada dalam langganan Azure Anda dan dienkripsi dengan kunci Anda. Meskipun ada di langganan Anda, sumber daya ini dikelola oleh Microsoft. Sumber daya secara otomatis dibuat dan dikonfigurasi saat Anda membuat ruang kerja Azure Machine Learning.
Penting
Saat menggunakan kunci yang dikelola pelanggan, biaya untuk langganan Anda akan lebih tinggi karena sumber daya ini ada dalam langganan Anda. Untuk memperkirakan biaya, gunakan Kalkulator harga Azure.
Sumber daya yang dikelola Microsoft ini terletak di grup sumber daya Azure baru yang dibuat di langganan Anda. Grup ini merupakan tambahan dari grup sumber daya untuk ruang kerja Anda. Grup sumber daya ini akan berisi sumber daya yang dikelola Microsoft yang digunakan dengan kunci Anda. Grup sumber daya akan diberi nama menggunakan rumus <Azure Machine Learning workspace resource group name><GUID>.
Tip
- Unit Permintaan untuk Azure Cosmos DB otomatis diskalakan sesuai kebutuhan.
- Jika ruang kerja Azure Machine Learning Anda menggunakan titik akhir privat, grup sumber daya ini juga akan berisi Azure Virtual Network yang dikelola Microsoft. VNet ini digunakan untuk mengamankan komunikasi antara layanan terkelola dan ruang kerja. Anda tidak dapat menyediakan VNet Anda sendiri untuk digunakan dengan sumber daya yang dikelola Microsoft. Anda juga tidak dapat mengubah jaringan virtual. Misalnya, Anda tidak dapat mengubah rentang alamat IP yang digunakannya.
Penting
Jika langganan Anda tidak memiliki kuota yang cukup untuk layanan ini, kegagalan akan terjadi.
Peringatan
Jangan hapus grup sumber daya yang berisi instans Azure Cosmos DB ini, atau sumber daya apa pun yang dibuat secara otomatis dalam grup ini. Jika Anda perlu menghapus grup sumber daya atau layanan yang dikelola Microsoft di dalamnya, Anda harus menghapus ruang kerja Azure Machine Learning yang menggunakannya. Sumber daya grup sumber daya akan dihapus saat ruang kerja terkait dihapus.
Cara data komputasi disimpan
Azure Machine Learning menggunakan sumber daya komputasi untuk melatih dan menyebarkan model pembelajaran mesin. Tabel berikut menjelaskan opsi komputasi dan cara data dienkripsi oleh masing-masing:
| Compute | Enkripsi |
|---|---|
| Instans Kontainer Azure | Data dienkripsi oleh kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Mengenkripsi data dengan kunci yang dikelola pelanggan. |
| Azure Kubernetes Service | Data dienkripsi oleh kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Membawa kunci Anda sendiri dengan disk Azure di Azure Kubernetes Services. |
| Instans komputasi Azure Machine Learning | Disk awal lokal dienkripsi jika bendera hbi_workspace diaktifkan untuk ruang kerja. |
| Kluster komputasi Azure Machine Learning | Disk OS dienkripsi dalam Azure Storage dengan kunci yang dikelola Microsoft. Disk sementara dienkripsi jika bendera hbi_workspace diaktifkan untuk ruang kerja. |
Kluster komputasi Disk OS untuk setiap node komputasi yang disimpan di Azure Storage dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Azure Machine Learning. Target komputasi ini bersifat sementara, dan kluster biasanya menurunkan skala ketika tidak ada pekerjaan yang mengantre. Komputer virtual yang mendasarinya dibatalkan provisinya, dan disk OS dihapus. Azure Disk Encryption tidak didukung untuk disk OS.
Setiap komputer virtual juga memiliki disk sementara lokal untuk operasi OS. Jika mau, Anda dapat menggunakan disk untuk menggelar data pelatihan. Jika ruang kerja dibuat dengan parameter hbi_workspace disetel ke TRUE, disk sementara akan dienkripsi. Lingkungan ini berumur pendek (hanya selama Anda menjalankannya) dan dukungan enkripsi hanya terbatas pada kunci yang dikelola sistem.
Instans komputasi Disk OS untuk dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan Azure Machine Learning. Jika ruang kerja dibuat dengan parameter hbi_workspace diatur ke TRUE, disk lokal sementara di instans komputasi akan dienkripsi dengan kunci yang dikelola Microsoft. Enkripsi kunci yang dikelola pelanggan tidak didukung untuk OS dan disk sementara.
bendera HBI_workspace
- Bendera
hbi_workspacehanya dapat diatur saat ruang kerja dibuat. Ini tidak dapat diubah untuk ruang kerja yang ada. - Saat diatur ke True, bendera ini dapat meningkatkan kesulitan pemecahan masalah karena lebih sedikit data telemetri yang dikirim ke Microsoft. Ada sedikit visibilitas ke tingkat keberhasilan atau jenis masalah. Microsoft mungkin tidak dapat bereaksi secara proaktif saat bendera ini benar.
Untuk mengaktifkan bendera hbi_workspace saat membuat ruang kerja Azure Machine Learning, ikuti langkah-langkah di salah satu artikel berikut:
- Cara membuat dan mengelola ruang kerja.
- Cara membuat dan mengelola ruang kerja menggunakan Azure CLI.
- Cara membuat ruang kerja menggunakan Hashicorp Terraform.
- Cara membuat ruang kerja menggunakan templat Azure Resource Manager.