Azure Machine Learning ile müşteri tarafından yönetilen anahtarları kullanma
Müşteri tarafından yönetilen anahtar kavramları makalesinde, Azure Machine Learning'in sağladığı şifreleme özellikleri hakkında bilgi edindiyseniz. Şimdi Azure Machine Learning ile müşteri tarafından yönetilen anahtarları kullanmayı öğrenin.
Azure Machine Learning, müşteri tarafından yönetilen anahtarları kullanan aşağıdaki hizmetlere dayanır:
| Hizmet | Kullanım amacı |
|---|---|
| Azure Cosmos DB | Azure Machine Learning için meta verileri depolar |
| Azure Yapay Zeka Arama | Azure Machine Learning için çalışma alanı meta verilerini depolar |
| Azure Depolama | Azure Machine Learning için çalışma alanı meta verilerini depolar |
| Azure Kubernetes Service | Eğitilen modelleri çıkarım uç noktaları olarak barındırıyor |
Azure Cosmos DB, Azure AI Search ve Azure Depolama güvenliğini sağlamaya yardımcı olmak için aynı anahtarı kullanırsınız. Azure Kubernetes Service için farklı bir anahtar kullanabilirsiniz.
Azure Cosmos DB, Azure AI Search ve Azure Depolama ile müşteri tarafından yönetilen bir anahtar kullandığınızda, anahtar çalışma alanınızı oluştururken sağlanır. Azure Kubernetes Service ile kullandığınız anahtar, bu kaynağı yapılandırdığınızda sağlanır.
| Hizmet | Kullanım amacı |
|---|---|
| Azure Cosmos DB | Azure Machine Learning için meta verileri depolar |
| Azure Yapay Zeka Arama | Azure Machine Learning için çalışma alanı meta verilerini depolar |
| Azure Depolama | Azure Machine Learning için çalışma alanı meta verilerini depolar |
| Azure Kubernetes Service | Eğitilen modelleri çıkarım uç noktaları olarak barındırıyor |
| Azure Container Instances | Eğitilen modelleri çıkarım uç noktaları olarak barındırıyor |
Azure Cosmos DB, Azure AI Search ve Azure Depolama güvenliğini sağlamaya yardımcı olmak için aynı anahtarı kullanırsınız. Azure Kubernetes Service ve Azure Container Instances için farklı bir anahtar kullanabilirsiniz.
Azure Cosmos DB, Azure AI Search ve Azure Depolama ile müşteri tarafından yönetilen bir anahtar kullandığınızda, anahtar çalışma alanınızı oluştururken sağlanır. Azure Container Instances ve Azure Kubernetes Service ile kullandığınız anahtarlar, bu kaynakları yapılandırdığınızda sağlanır.
Önkoşullar
Azure aboneliği.
Aşağıdaki Azure kaynak sağlayıcılarının kaydedilmesi gerekir:
Kaynak sağlayıcısı Neden gereklidir? Microsoft.MachineLearningServices Azure Machine Learning çalışma alanını oluşturma. Microsoft.Storage Depolama Hesabı, çalışma alanı için varsayılan depolama alanı olarak kullanılır. Microsoft.KeyVault Azure Key Vault, çalışma alanı tarafından gizli dizileri depolamak için kullanılır. Microsoft.DocumentDB Çalışma alanı için meta verileri günlüğe kaydeden Azure Cosmos DB örneği. Microsoft.Search Azure AI Search, çalışma alanı için dizin oluşturma özellikleri sağlar. Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Sınırlamalar
- Çalışma alanı oluşturulduktan sonra, çalışma alanının bağımlı olduğu kaynaklar için müşteri tarafından yönetilen şifreleme anahtarı yalnızca özgün Azure Key Vault kaynağındaki başka bir anahtara güncelleştirilebilir..
- Aboneliğinizde Microsoft tarafından yönetilen kaynaklar sahipliği size aktaramaz.
- Müşteri tarafından yönetilen anahtarlar için kullanılan, Microsoft tarafından yönetilen kaynakları, çalışma alanınızı da silmeden silemezsiniz.
- Müşteri tarafından yönetilen anahtarınızı içeren anahtar kasası, Azure Machine Learning çalışma alanıyla aynı Azure aboneliğinde olmalıdır.
- Makine öğrenmesi işleminin işletim sistemi diski müşteri tarafından yönetilen anahtarla şifrelenemez, ancak çalışma alanı parametresi olarak ayarlandıysa
TRUEMicrosoft tarafından yönetilen anahtarlahbi_workspaceşifrelenebilir. Daha fazla ayrıntı için bkz . Veri şifreleme.
Önemli
Müşteri tarafından yönetilen bir anahtar kullanıldığında, aboneliğinizdeki ek kaynaklar nedeniyle aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Azure Key Vault oluşturma
Anahtar kasasını oluşturmak için bkz . Anahtar kasası oluşturma. Azure Key Vault oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir.
Önemli
Anahtar kasası, Azure Machine Learning çalışma alanınızı içerecek aynı Azure aboneliğinde olmalıdır.
Anahtar oluşturma
İpucu
Anahtarı oluştururken sorun yaşıyorsanız, bunun nedeni aboneliğinizde uygulanmış olan Azure rol tabanlı erişim denetimleri olabilir. Anahtarı oluşturmak için kullandığınız güvenlik sorumlusuna (kullanıcı, yönetilen kimlik, hizmet sorumlusu vb.) anahtar kasası örneği için Katkıda Bulunan rolü atandığından emin olun. Anahtar kasasında güvenlik sorumlusu Oluşturma, Alma, Silme ve Temizleme yetkilendirmesi veren bir Erişim ilkesi de yapılandırmanız gerekir.
Çalışma alanınız için kullanıcı tarafından atanan bir yönetilen kimlik kullanmayı planlıyorsanız, yönetilen kimliğe de bu roller ve erişim ilkeleri atanmalıdır.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
Azure portalından anahtar kasası örneğini seçin. Ardından soldan Anahtarlar'ı seçin.
Sayfanın üst kısmından + Oluştur/içeri aktar'ı seçin. Anahtar oluşturmak için aşağıdaki değerleri kullanın:
- Seçenekler'i Oluştur olarak ayarlayın.
- Anahtar için bir Ad girin. Ad, planlanan kullanımı tanımlayan bir ad olmalıdır. Örneğin,
my-cosmos-key. - Anahtar türünü RSA olarak ayarlayın.
- RSA anahtar boyutu için en az 3072 seçmenizi öneririz.
- Etkin olarak evet olarak bırakın.
İsteğe bağlı olarak bir etkinleştirme tarihi, son kullanma tarihi ve etiketler ayarlayabilirsiniz.
Anahtarı oluşturmak için Oluştur'u seçin.
Azure Cosmos DB'nin anahtara erişmesine izin verme
- Anahtar kasasını yapılandırmak için Azure portalında bu kasayı seçin ve ardından sol menüden Erişim ilkeleri'ni seçin.
- Azure Cosmos DB izinleri oluşturmak için sayfanın üst kısmındaki + Oluştur'u seçin. Anahtar izinleri'nin altında Al, Anahtarı Çöz ve Anahtar izinlerini sarmala'yı seçin.
- Sorumlu altında Azure Cosmos DB'yi arayın ve seçin. Bu girişin asıl kimliği Azure Kamu
a232010e-820c-4083-83bb-3ace5fc29d0bdışındaki tüm bölgeler içindir. Azure Kamu için asıl kimlik şeklindedir57506a73-e302-42a9-b869-6f12d9ec29e9. - Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.
Müşteri tarafından yönetilen anahtar kullanan bir çalışma alanı oluşturma
Azure Machine Learning çalışma alanı oluşturun. Çalışma alanını oluştururken Azure Key Vault'ı ve anahtarı seçmeniz gerekir. Çalışma alanını nasıl oluşturduğunuza bağlı olarak, bu kaynakları farklı şekillerde belirtirsiniz:
Uyarı
Müşteri tarafından yönetilen anahtarınızı içeren anahtar kasası, çalışma alanıyla aynı Azure aboneliğinde olmalıdır.
Azure portalı: Çalışma alanını yapılandırırken açılan giriş kutusundan anahtar kasasını ve anahtarı seçin.
SDK, REST API ve Azure Resource Manager şablonları: Anahtar kasasının Azure Resource Manager kimliğini ve anahtarın URL'sini sağlayın. Bu değerleri almak için Azure CLI'yı ve aşağıdaki komutları kullanın:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kidAnahtar kasası kimliği değeri ile
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykvbenzer olacaktır. Anahtarın URL'si ilehttps://mykv.vault.azure.net/keys/mykey/{GUID}benzer olacaktır.
Müşteri tarafından yönetilen anahtarla çalışma alanı oluşturma örnekleri için aşağıdaki makalelere bakın:
| Oluşturma yöntemi | Makale |
|---|---|
| CLI | Azure CLI ile çalışma alanı oluşturma |
| Azure portalı/ Python SDK'sı |
Çalışma alanı oluşturma ve yönetme |
| Azure Resource Manager şablonu |
Şablonla çalışma alanı oluşturma |
| REST API | REST ile Azure Machine Learning kaynakları oluşturma, çalıştırma ve silme |
Çalışma alanı oluşturulduktan sonra aboneliğinizde Azure kaynak grubunun oluşturulduğunu fark edeceksiniz. Bu grup, çalışma alanınızın kaynak grubuna ek olarak kullanılır. Bu kaynak grubu, anahtarınızın birlikte kullanıldığı Microsoft tarafından yönetilen kaynakları içerir. Kaynak grubu formülü <Azure Machine Learning workspace resource group name><GUID>kullanılarak adlandırılır. Azure Cosmos DB örneği, Azure Depolama Hesabı ve Azure AI Search içerir.
İpucu
- Azure Cosmos DB örneği için İstek Birimleri gerektiğinde otomatik olarak ölçeklendirilir.
- Azure Machine Learning çalışma alanınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure Sanal Ağ de içerir. Bu sanal ağ, yönetilen hizmetler ve çalışma alanı arasındaki iletişimin güvenliğini sağlamak için kullanılır. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Önemli
Aboneliğinizin bu hizmetler için yeterli kotası yoksa bir hata oluşur.
Uyarı
Bu Azure Cosmos DB örneğini içeren kaynak grubunu veya bu grupta otomatik olarak oluşturulan kaynaklardan herhangi birini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure Machine Learning çalışma alanını silmeniz gerekir. kaynak grubu kaynakları, ilişkili çalışma alanı silindiğinde silinir.
Azure Cosmos DB ile müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . Azure Cosmos DB hesabınız için müşteri tarafından yönetilen anahtarları yapılandırma.
Azure Container Instance
Önemli
Azure Container Instances'a dağıtım SDK veya CLI v2'de kullanılamaz. Yalnızca SDK ve CLI v1 aracılığıyla.
Eğitilmiş modeli bir Azure Container örneğine (ACI) dağıtırken, dağıtılan kaynağı müşteri tarafından yönetilen bir anahtar kullanarak şifreleyebilirsiniz. Anahtar oluşturma hakkında bilgi için bkz . Verileri müşteri tarafından yönetilen bir anahtarla şifreleme.
Azure Container Instance'a model dağıtırken anahtarını kullanmak için kullanarak AciWebservice.deploy_configuration()yeni bir dağıtım yapılandırması oluşturun. Aşağıdaki parametreleri kullanarak anahtar bilgilerini sağlayın:
cmk_vault_base_url: Anahtarı içeren anahtar kasasının URL'si.cmk_key_name: Anahtarın adı.cmk_key_version: Anahtarın sürümü.
Dağıtım yapılandırması oluşturma ve kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Azure Container Instances'a model dağıtma (SDK/CLI v1)
ACI ile müşteri tarafından yönetilen anahtar kullanma hakkında daha fazla bilgi için bkz . Dağıtım verilerini şifreleme.
Azure Kubernetes Service
Dağıtılan bir Azure Kubernetes Service kaynağını istediğiniz zaman müşteri tarafından yönetilen anahtarları kullanarak şifreleyebilirsiniz. Daha fazla bilgi için bkz . Azure Kubernetes Service ile kendi anahtarlarınızı getirme.
Bu işlem, Kubernetes kümesinde dağıtılan sanal makinelerin hem Veri hem de İşletim Sistemi Diskini şifrelemenizi sağlar.
Önemli
Bu işlem yalnızca AKS K8s sürüm 1.17 veya üzeri ile çalışır.