Použití klíčů spravovaných zákazníkem se službou Azure Machine Learning

V článku o konceptech klíčů spravovaných zákazníkem jste se dozvěděli o možnostech šifrování, které poskytuje Azure Machine Learning. Teď se naučíte používat klíče spravované zákazníkem se službou Azure Machine Learning.

Azure Machine Learning spoléhá na následující služby, které používají klíče spravované zákazníkem:

Služba K čemu slouží
Azure Cosmos DB Ukládá metadata pro Azure Machine Learning
Azure AI Vyhledávač Ukládá metadata pracovního prostoru pro Azure Machine Learning.
Azure Storage Ukládá metadata pracovního prostoru pro Azure Machine Learning.
Azure Kubernetes Service Hostitelé vytrénovaných modelů jako koncové body odvozování

Stejný klíč použijete k zabezpečení služby Azure Cosmos DB, Azure AI Search a Azure Storage. Pro službu Azure Kubernetes Service můžete použít jiný klíč.

Když použijete klíč spravovaný zákazníkem se službou Azure Cosmos DB, Azure AI Search a Azure Storage, klíč se poskytne při vytváření pracovního prostoru. Klíč, který používáte se službou Azure Kubernetes Service, se poskytuje při konfiguraci daného prostředku.

Služba K čemu slouží
Azure Cosmos DB Ukládá metadata pro Azure Machine Learning
Azure AI Vyhledávač Ukládá metadata pracovního prostoru pro Azure Machine Learning.
Azure Storage Ukládá metadata pracovního prostoru pro Azure Machine Learning.
Azure Kubernetes Service Hostitelé vytrénovaných modelů jako koncové body odvozování
Azure Container Instances Hostitelé vytrénovaných modelů jako koncové body odvozování

Stejný klíč použijete k zabezpečení služby Azure Cosmos DB, Azure AI Search a Azure Storage. Pro službu Azure Kubernetes Service a Azure Container Instances můžete použít jiný klíč.

Když použijete klíč spravovaný zákazníkem se službou Azure Cosmos DB, Azure AI Search a Azure Storage, klíč se poskytne při vytváření pracovního prostoru. Klíče, které používáte se službou Azure Container Instances a Azure Kubernetes Service, se poskytují při konfiguraci těchto prostředků.

Požadavky

  • Předplatné Azure.

  • Musí být zaregistrovaní následující poskytovatelé prostředků Azure:

    Poskytovatel prostředků Proč je to potřeba
    Microsoft.MachineLearningServices Vytvoření pracovního prostoru Azure Machine Learning
    Microsoft.Storage Účet úložiště se používá jako výchozí úložiště pro pracovní prostor.
    Microsoft.KeyVault Azure Key Vault používá pracovní prostor k ukládání tajných kódů.
    Microsoft.DocumentDB Instance služby Azure Cosmos DB, která protokoluje metadata pro pracovní prostor.
    Microsoft.Search Azure AI Search poskytuje možnosti indexování pro pracovní prostor.

    Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

Omezení

  • Po vytvoření pracovního prostoru je možné šifrovací klíč spravovaný zákazníkem pro prostředky, na které pracovní prostor závisí, aktualizovat pouze na jiný klíč v původním prostředku služby Azure Key Vault.
  • Prostředky spravované Microsoftem ve vašem předplatném nemůžou převést vlastnictví na vás.
  • Prostředky spravované Microsoftem, které se používají pro klíče spravované zákazníkem, nemůžete odstranit, aniž byste zároveň odstranili váš pracovní prostor.
  • Trezor klíčů, který obsahuje klíč spravovaný zákazníkem, musí být ve stejném předplatném Azure jako pracovní prostor Azure Machine Learning.
  • Disk s operačním systémem výpočetních prostředků strojového učení nejde zašifrovat pomocí klíče spravovaného zákazníkem, ale pokud je pracovní prostor vytvořený s parametrem nastaveným na TRUE, můžete ho zašifrovat pomocí klíče spravovaného Microsoftemhbi_workspace. Další podrobnosti najdete v tématu Šifrování dat.

Důležité

Při použití klíče spravovaného zákazníkem budou náklady na vaše předplatné vyšší kvůli dalším prostředkům ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.

Vytvoření služby Azure Key Vault

Pokud chcete trezor klíčů vytvořit, přečtěte si téma Vytvoření trezoru klíčů. Při vytváření služby Azure Key Vault musíte povolit ochranu obnovitelného odstranění a vyprázdnění.

Důležité

Trezor klíčů musí být ve stejném předplatném Azure, které bude obsahovat váš pracovní prostor Azure Machine Learning.

Vytvoření klíče

Tip

Pokud máte problémy s vytvořením klíče, může to být způsobeno řízením přístupu na základě role v Azure, které byly použity ve vašem předplatném. Ujistěte se, že objekt zabezpečení (uživatel, spravovaná identita, instanční objekt atd.), který používáte k vytvoření klíče, má přiřazenou roli Přispěvatel pro instanci trezoru klíčů. Musíte také nakonfigurovat zásadu přístupu v trezoru klíčů, která uděluje autorizaci vytvoření, získání, odstranění a vyprázdnění objektu zabezpečení.

Pokud chcete pro svůj pracovní prostor použít spravovanou identitu přiřazenou uživatelem, musí být spravovaná identita také přiřazena těmto rolím a zásadám přístupu.

Další informace najdete v následujících článcích:

  1. Na webu Azure Portal vyberte instanci trezoru klíčů. Pak vyberte Klíče zleva.

  2. V horní části stránky vyberte + Vygenerovat/importovat . K vytvoření klíče použijte následující hodnoty:

    • Nastavte možnosti pro vygenerování.
    • Zadejte název klíče. Název by měl být něco, co identifikuje plánované použití. Například my-cosmos-key.
    • Nastavte typ klíče na RSA.
    • Pro velikost klíče RSA doporučujeme vybrat alespoň 3072.
    • Možnost Povoleno ponechte nastavenou na ano.

    Volitelně můžete nastavit datum aktivace, datum vypršení platnosti a značky.

  3. Vyberte Vytvořit a vytvořte klíč.

Povolení přístupu ke klíči ve službě Azure Cosmos DB

  1. Pokud chcete nakonfigurovat trezor klíčů, vyberte ho na webu Azure Portal a pak v nabídce vlevo vyberte Zásady přístupu.
  2. Pokud chcete vytvořit oprávnění pro službu Azure Cosmos DB, vyberte + Vytvořit v horní části stránky. V části Oprávnění ke klíči vyberte Oprávnění Získat, Rozbalit klíč a Zalamovat klíč .
  3. V části Instanční objekt vyhledejte službu Azure Cosmos DB a vyberte ji. ID objektu zabezpečení pro tuto položku je a232010e-820c-4083-83bb-3ace5fc29d0b pro všechny jiné oblasti než Azure Government. Pro Azure Government je 57506a73-e302-42a9-b869-6f12d9ec29e9ID objektu zabezpečení .
  4. Vyberte Zkontrolovat a vytvořit a potom vyberte Vytvořit.

Vytvoření pracovního prostoru, který používá klíč spravovaný zákazníkem

Vytvořte pracovní prostor Azure Machine Learning. Při vytváření pracovního prostoru musíte vybrat Azure Key Vault a klíč. V závislosti na způsobu vytváření pracovního prostoru určíte tyto prostředky různými způsoby:

Upozorňující

Trezor klíčů, který obsahuje klíč spravovaný zákazníkem, musí být ve stejném předplatném Azure jako pracovní prostor.

  • Azure Portal: Při konfiguraci pracovního prostoru vyberte trezor klíčů a klíč ze vstupního pole rozevíracího seznamu.

  • Šablony SDK, REST API a Azure Resource Manageru: Zadejte ID Azure Resource Manageru trezoru klíčů a adresu URL klíče. K získání těchto hodnot použijte Azure CLI a následující příkazy:

    # Replace `mykv` with your key vault name.
    # Replace `mykey` with the name of your key.
    
    # Get the Azure Resource Manager ID of the key vault
    az keyvault show --name mykv --query id
    # Get the URL for the key
    az keyvault key show --vault-name mykv -n mykey --query key.kid
    

    Hodnota ID trezoru klíčů bude podobná /subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykvhodnotě . Adresa URL klíče bude podobná https://mykv.vault.azure.net/keys/mykey/{GUID}.

Příklady vytvoření pracovního prostoru s klíčem spravovaným zákazníkem najdete v následujících článcích:

Metoda vytvoření Článek
Rozhraní příkazového řádku Vytvoření pracovního prostoru pomocí Azure CLI
Azure Portal /
Python SDK
Vytvoření a správa pracovního prostoru
Šablona Azure Resource Manageru
Vytvoření pracovního prostoru pomocí šablony
REST API Vytváření, spouštění a odstraňování prostředků Služby Azure Machine Learning pomocí REST

Po vytvoření pracovního prostoru si všimnete, že se ve vašem předplatném vytvoří skupina prostředků Azure. Tato skupina je navíc ke skupině prostředků pro váš pracovní prostor. Tato skupina prostředků bude obsahovat prostředky spravované Microsoftem, se kterými se váš klíč používá. Skupina prostředků bude pojmenována pomocí vzorce <Azure Machine Learning workspace resource group name><GUID>. Bude obsahovat instanci služby Azure Cosmos DB, účet úložiště Azure a službu Azure AI Search.

Tip

  • Jednotky žádostí pro instanci Azure Cosmos DB se podle potřeby automaticky škáluje.
  • Pokud váš pracovní prostor Azure Machine Learning používá privátní koncový bod, bude tato skupina prostředků obsahovat také virtuální síť Azure spravovanou Microsoftem. Tato virtuální síť slouží k zabezpečení komunikace mezi spravovanými službami a pracovním prostorem. Nemůžete poskytnout vlastní virtuální síť pro použití s prostředky spravovanými Microsoftem. Nemůžete také upravit virtuální síť. Rozsah IP adres, který používá, například nemůžete změnit.

Důležité

Pokud vaše předplatné nemá dostatečnou kvótu pro tyto služby, dojde k selhání.

Upozorňující

Neodstraňovat skupinu prostředků, která obsahuje tuto instanci služby Azure Cosmos DB ani žádné prostředky, které se automaticky vytvoří v této skupině. Pokud potřebujete odstranit skupinu prostředků nebo služby spravované Microsoftem, musíte odstranit pracovní prostor Služby Azure Machine Learning, který ji používá. Prostředky skupiny prostředků se odstraní při odstranění přidruženého pracovního prostoru.

Další informace o klíčích spravovaných zákazníkem pomocí služby Azure Cosmos DB najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro účet služby Azure Cosmos DB.

Azure Container Instance

Důležité

Nasazení do služby Azure Container Instances není k dispozici v sadě SDK ani cli v2. Pouze prostřednictvím sady SDK a ROZHRANÍ příkazového řádku verze 1.

Při nasazování natrénovaného modelu do instance kontejneru Azure (ACI) můžete nasazený prostředek zašifrovat pomocí klíče spravovaného zákazníkem. Informace o generování klíče najdete v tématu Šifrování dat pomocí klíče spravovaného zákazníkem.

Pokud chcete klíč použít při nasazování modelu do služby Azure Container Instance, vytvořte novou konfiguraci nasazení pomocí AciWebservice.deploy_configuration(). Zadejte klíčové informace pomocí následujících parametrů:

  • cmk_vault_base_url: Adresa URL trezoru klíčů, který tento klíč obsahuje.
  • cmk_key_name: Název klíče.
  • cmk_key_version: Verze klíče.

Další informace o vytváření a používání konfigurace nasazení najdete v následujících článcích:

Azure Kubernetes Service

Nasazený prostředek služby Azure Kubernetes Service můžete kdykoli zašifrovat pomocí klíčů spravovaných zákazníkem. Další informace najdete v tématu Používání vlastních klíčů se službou Azure Kubernetes Service.

Tento proces umožňuje šifrovat data i disk s operačním systémem nasazených virtuálních počítačů v clusteru Kubernetes.

Důležité

Tento proces funguje jenom s AKS K8s verze 1.17 nebo vyšší.

Další kroky