Použití klíčů spravovaných zákazníkem se službou Azure Machine Learning
V článku o konceptech klíčů spravovaných zákazníkem jste se dozvěděli o možnostech šifrování, které poskytuje Azure Machine Learning. Teď se naučíte používat klíče spravované zákazníkem se službou Azure Machine Learning.
Azure Machine Learning spoléhá na následující služby, které používají klíče spravované zákazníkem:
Služba | K čemu slouží |
---|---|
Azure Cosmos DB | Ukládá metadata pro Azure Machine Learning |
Azure AI Vyhledávač | Ukládá metadata pracovního prostoru pro Azure Machine Learning. |
Azure Storage | Ukládá metadata pracovního prostoru pro Azure Machine Learning. |
Azure Kubernetes Service | Hostitelé vytrénovaných modelů jako koncové body odvozování |
Stejný klíč použijete k zabezpečení služby Azure Cosmos DB, Azure AI Search a Azure Storage. Pro službu Azure Kubernetes Service můžete použít jiný klíč.
Když použijete klíč spravovaný zákazníkem se službou Azure Cosmos DB, Azure AI Search a Azure Storage, klíč se poskytne při vytváření pracovního prostoru. Klíč, který používáte se službou Azure Kubernetes Service, se poskytuje při konfiguraci daného prostředku.
Služba | K čemu slouží |
---|---|
Azure Cosmos DB | Ukládá metadata pro Azure Machine Learning |
Azure AI Vyhledávač | Ukládá metadata pracovního prostoru pro Azure Machine Learning. |
Azure Storage | Ukládá metadata pracovního prostoru pro Azure Machine Learning. |
Azure Kubernetes Service | Hostitelé vytrénovaných modelů jako koncové body odvozování |
Azure Container Instances | Hostitelé vytrénovaných modelů jako koncové body odvozování |
Stejný klíč použijete k zabezpečení služby Azure Cosmos DB, Azure AI Search a Azure Storage. Pro službu Azure Kubernetes Service a Azure Container Instances můžete použít jiný klíč.
Když použijete klíč spravovaný zákazníkem se službou Azure Cosmos DB, Azure AI Search a Azure Storage, klíč se poskytne při vytváření pracovního prostoru. Klíče, které používáte se službou Azure Container Instances a Azure Kubernetes Service, se poskytují při konfiguraci těchto prostředků.
Požadavky
Předplatné Azure.
Musí být zaregistrovaní následující poskytovatelé prostředků Azure:
Poskytovatel prostředků Proč je to potřeba Microsoft.MachineLearningServices Vytvoření pracovního prostoru Azure Machine Learning Microsoft.Storage Účet úložiště se používá jako výchozí úložiště pro pracovní prostor. Microsoft.KeyVault Azure Key Vault používá pracovní prostor k ukládání tajných kódů. Microsoft.DocumentDB Instance služby Azure Cosmos DB, která protokoluje metadata pro pracovní prostor. Microsoft.Search Azure AI Search poskytuje možnosti indexování pro pracovní prostor. Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.
Omezení
- Po vytvoření pracovního prostoru je možné šifrovací klíč spravovaný zákazníkem pro prostředky, na které pracovní prostor závisí, aktualizovat pouze na jiný klíč v původním prostředku služby Azure Key Vault.
- Prostředky spravované Microsoftem ve vašem předplatném nemůžou převést vlastnictví na vás.
- Prostředky spravované Microsoftem, které se používají pro klíče spravované zákazníkem, nemůžete odstranit, aniž byste zároveň odstranili váš pracovní prostor.
- Trezor klíčů, který obsahuje klíč spravovaný zákazníkem, musí být ve stejném předplatném Azure jako pracovní prostor Azure Machine Learning.
- Disk s operačním systémem výpočetních prostředků strojového učení nejde zašifrovat pomocí klíče spravovaného zákazníkem, ale pokud je pracovní prostor vytvořený s parametrem nastaveným na
TRUE
, můžete ho zašifrovat pomocí klíče spravovaného Microsoftemhbi_workspace
. Další podrobnosti najdete v tématu Šifrování dat.
Důležité
Při použití klíče spravovaného zákazníkem budou náklady na vaše předplatné vyšší kvůli dalším prostředkům ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.
Vytvoření služby Azure Key Vault
Pokud chcete trezor klíčů vytvořit, přečtěte si téma Vytvoření trezoru klíčů. Při vytváření služby Azure Key Vault musíte povolit ochranu obnovitelného odstranění a vyprázdnění.
Důležité
Trezor klíčů musí být ve stejném předplatném Azure, které bude obsahovat váš pracovní prostor Azure Machine Learning.
Vytvoření klíče
Tip
Pokud máte problémy s vytvořením klíče, může to být způsobeno řízením přístupu na základě role v Azure, které byly použity ve vašem předplatném. Ujistěte se, že objekt zabezpečení (uživatel, spravovaná identita, instanční objekt atd.), který používáte k vytvoření klíče, má přiřazenou roli Přispěvatel pro instanci trezoru klíčů. Musíte také nakonfigurovat zásadu přístupu v trezoru klíčů, která uděluje autorizaci vytvoření, získání, odstranění a vyprázdnění objektu zabezpečení.
Pokud chcete pro svůj pracovní prostor použít spravovanou identitu přiřazenou uživatelem, musí být spravovaná identita také přiřazena těmto rolím a zásadám přístupu.
Další informace najdete v následujících článcích:
Na webu Azure Portal vyberte instanci trezoru klíčů. Pak vyberte Klíče zleva.
V horní části stránky vyberte + Vygenerovat/importovat . K vytvoření klíče použijte následující hodnoty:
- Nastavte možnosti pro vygenerování.
- Zadejte název klíče. Název by měl být něco, co identifikuje plánované použití. Například
my-cosmos-key
. - Nastavte typ klíče na RSA.
- Pro velikost klíče RSA doporučujeme vybrat alespoň 3072.
- Možnost Povoleno ponechte nastavenou na ano.
Volitelně můžete nastavit datum aktivace, datum vypršení platnosti a značky.
Vyberte Vytvořit a vytvořte klíč.
Povolení přístupu ke klíči ve službě Azure Cosmos DB
- Pokud chcete nakonfigurovat trezor klíčů, vyberte ho na webu Azure Portal a pak v nabídce vlevo vyberte Zásady přístupu.
- Pokud chcete vytvořit oprávnění pro službu Azure Cosmos DB, vyberte + Vytvořit v horní části stránky. V části Oprávnění ke klíči vyberte Oprávnění Získat, Rozbalit klíč a Zalamovat klíč .
- V části Instanční objekt vyhledejte službu Azure Cosmos DB a vyberte ji. ID objektu zabezpečení pro tuto položku je
a232010e-820c-4083-83bb-3ace5fc29d0b
pro všechny jiné oblasti než Azure Government. Pro Azure Government je57506a73-e302-42a9-b869-6f12d9ec29e9
ID objektu zabezpečení . - Vyberte Zkontrolovat a vytvořit a potom vyberte Vytvořit.
Vytvoření pracovního prostoru, který používá klíč spravovaný zákazníkem
Vytvořte pracovní prostor Azure Machine Learning. Při vytváření pracovního prostoru musíte vybrat Azure Key Vault a klíč. V závislosti na způsobu vytváření pracovního prostoru určíte tyto prostředky různými způsoby:
Upozorňující
Trezor klíčů, který obsahuje klíč spravovaný zákazníkem, musí být ve stejném předplatném Azure jako pracovní prostor.
Azure Portal: Při konfiguraci pracovního prostoru vyberte trezor klíčů a klíč ze vstupního pole rozevíracího seznamu.
Šablony SDK, REST API a Azure Resource Manageru: Zadejte ID Azure Resource Manageru trezoru klíčů a adresu URL klíče. K získání těchto hodnot použijte Azure CLI a následující příkazy:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kid
Hodnota ID trezoru klíčů bude podobná
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv
hodnotě . Adresa URL klíče bude podobnáhttps://mykv.vault.azure.net/keys/mykey/{GUID}
.
Příklady vytvoření pracovního prostoru s klíčem spravovaným zákazníkem najdete v následujících článcích:
Metoda vytvoření | Článek |
---|---|
Rozhraní příkazového řádku | Vytvoření pracovního prostoru pomocí Azure CLI |
Azure Portal / Python SDK |
Vytvoření a správa pracovního prostoru |
Šablona Azure Resource Manageru |
Vytvoření pracovního prostoru pomocí šablony |
REST API | Vytváření, spouštění a odstraňování prostředků Služby Azure Machine Learning pomocí REST |
Po vytvoření pracovního prostoru si všimnete, že se ve vašem předplatném vytvoří skupina prostředků Azure. Tato skupina je navíc ke skupině prostředků pro váš pracovní prostor. Tato skupina prostředků bude obsahovat prostředky spravované Microsoftem, se kterými se váš klíč používá. Skupina prostředků bude pojmenována pomocí vzorce <Azure Machine Learning workspace resource group name><GUID>
. Bude obsahovat instanci služby Azure Cosmos DB, účet úložiště Azure a službu Azure AI Search.
Tip
- Jednotky žádostí pro instanci Azure Cosmos DB se podle potřeby automaticky škáluje.
- Pokud váš pracovní prostor Azure Machine Learning používá privátní koncový bod, bude tato skupina prostředků obsahovat také virtuální síť Azure spravovanou Microsoftem. Tato virtuální síť slouží k zabezpečení komunikace mezi spravovanými službami a pracovním prostorem. Nemůžete poskytnout vlastní virtuální síť pro použití s prostředky spravovanými Microsoftem. Nemůžete také upravit virtuální síť. Rozsah IP adres, který používá, například nemůžete změnit.
Důležité
Pokud vaše předplatné nemá dostatečnou kvótu pro tyto služby, dojde k selhání.
Upozorňující
Neodstraňovat skupinu prostředků, která obsahuje tuto instanci služby Azure Cosmos DB ani žádné prostředky, které se automaticky vytvoří v této skupině. Pokud potřebujete odstranit skupinu prostředků nebo služby spravované Microsoftem, musíte odstranit pracovní prostor Služby Azure Machine Learning, který ji používá. Prostředky skupiny prostředků se odstraní při odstranění přidruženého pracovního prostoru.
Další informace o klíčích spravovaných zákazníkem pomocí služby Azure Cosmos DB najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro účet služby Azure Cosmos DB.
Azure Container Instance
Důležité
Nasazení do služby Azure Container Instances není k dispozici v sadě SDK ani cli v2. Pouze prostřednictvím sady SDK a ROZHRANÍ příkazového řádku verze 1.
Při nasazování natrénovaného modelu do instance kontejneru Azure (ACI) můžete nasazený prostředek zašifrovat pomocí klíče spravovaného zákazníkem. Informace o generování klíče najdete v tématu Šifrování dat pomocí klíče spravovaného zákazníkem.
Pokud chcete klíč použít při nasazování modelu do služby Azure Container Instance, vytvořte novou konfiguraci nasazení pomocí AciWebservice.deploy_configuration()
. Zadejte klíčové informace pomocí následujících parametrů:
cmk_vault_base_url
: Adresa URL trezoru klíčů, který tento klíč obsahuje.cmk_key_name
: Název klíče.cmk_key_version
: Verze klíče.
Další informace o vytváření a používání konfigurace nasazení najdete v následujících článcích:
Nasazení modelu do služby Azure Container Instances (SDK/CLI v1)
Další informace o použití klíče spravovaného zákazníkem s ACI najdete v tématu Šifrování dat nasazení.
Azure Kubernetes Service
Nasazený prostředek služby Azure Kubernetes Service můžete kdykoli zašifrovat pomocí klíčů spravovaných zákazníkem. Další informace najdete v tématu Používání vlastních klíčů se službou Azure Kubernetes Service.
Tento proces umožňuje šifrovat data i disk s operačním systémem nasazených virtuálních počítačů v clusteru Kubernetes.
Důležité
Tento proces funguje jenom s AKS K8s verze 1.17 nebo vyšší.