Veri yönetimi
Azure Machine Learning'de veri erişimini yönetmeyi ve kimlik doğrulamayı öğrenin.
ŞUNLAR IÇIN GEÇERLIDIR:
Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)
Önemli
Bu makale, bir Azure Machine Learning çözümü için gerekli altyapıyı oluşturmak isteyen Azure yöneticilerine yöneliktir.
Kimlik bilgisi tabanlı veri kimlik doğrulaması
Genel olarak, kimlik bilgisi tabanlı veri kimlik doğrulaması şu denetimleri içerir:
Kimlik bilgisi tabanlı veri deposundan verilere erişen kullanıcının,
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/actionBu izin, kullanıcının veri deposundan kimlik bilgilerini almak için gereklidir.
Bu izni zaten içeren yerleşik roller:
- Katkıda Bulunan
- Azure AI Geliştiricisi
- Azure Machine Learning Veri Bilimci
- Alternatif olarak, özel bir rol uygulanmışsa, bu izin bu özel role eklenmelidir
Verilere hangi kullanıcının erişmek istediğini bilmeniz gerekir. Belirli bir kullanıcı, kullanıcı kimliğine sahip gerçek bir kullanıcı olabilir. İşlem yönetilen kimliğine (MSI) sahip bir bilgisayar da olabilir. Daha fazla bilgi için, eklenen izne ihtiyaç duyan kimliği belirlemek için Senaryolar ve kimlik doğrulama seçenekleri bölümünü ziyaret edin.
Depolanan kimlik bilgilerinin (hizmet sorumlusu, hesap anahtarı veya paylaşılan erişim imzası belirteci) veri kaynağına erişimi var mı?
Kimlik tabanlı veri kimlik doğrulaması
Genel olarak, kimlik tabanlı veri kimlik doğrulaması şu denetimleri içerir:
- Hangi kullanıcı kaynaklara erişmek istiyor?
- Verilere erişildiğinde bağlama bağlı olarak farklı kimlik doğrulama türleri kullanılabilir. Örneğin:
- Kullanıcı kimliği
- İşlem yönetilen kimliği
- Çalışma alanı yönetilen kimliği
- Veri kümesi
Generate Profileseçeneği dahil olmak üzere işler aboneliğinizdeki bir işlem kaynağında çalışır ve verilere bu konumdan erişin. İşlem yönetilen kimliğinin, işi gönderen kullanıcının kimliği yerine depolama kaynağına erişme izni gerekir. - Bir kullanıcı kimliğine dayalı kimlik doğrulaması için, depolama kaynağına erişmeye çalışan belirli bir kullanıcıyı bilmeniz gerekir. Kullanıcı kimlik doğrulaması hakkında daha fazla bilgi için Azure Machine Learning için kimlik doğrulaması bölümünü ziyaret edin. Hizmet düzeyi kimlik doğrulaması hakkında daha fazla bilgi için Azure Machine Learning ve diğer hizmetler arasında kimlik doğrulaması bölümünü ziyaret edin.
- Verilere erişildiğinde bağlama bağlı olarak farklı kimlik doğrulama türleri kullanılabilir. Örneğin:
- Bu kullanıcının kaynak için okuma izni var mı?
- Kullanıcı kimliği veya işlem yönetilen kimliği bu depolama kaynağı için gerekli izinlere sahip mi? İzinler Azure RBAC kullanılarak verilir.
- Depolama hesabı Okuyucusu, depolama meta verilerini okur.
- Depolama Blobu Veri Okuyucusu, depolama kapsayıcılarını ve blobları okur ve listeler.
- Depolama Dosyası Verileri Privileged Reader, Azure dosya paylaşımlarındaki dosyaları ve dizinleri yeniden adlandırıp listeler.
- Daha fazla bilgi için bkz . Depolama için Azure yerleşik rolleri.
- Bu kullanıcının kaynak için yazma izni var mı?
- Kullanıcı kimliği veya işlem yönetilen kimliği bu depolama kaynağı için gerekli izinlere sahip mi? İzinler Azure RBAC kullanılarak verilir.
- Depolama hesabı Okuyucusu, depolama meta verilerini okur.
- Depolama Blob Verileri Katılımcısı, Azure Depolama kapsayıcılarını ve bloblarını okur, yazar ve siler.
- Depolama Dosyası Verileri Ayrıcalıklı Katkıda Bulunanı, Azure dosya paylaşımlarındaki dosya ve dizinlerdeki erişim denetimi listelerini okur, yazar, siler ve değiştirir.
- Daha fazla bilgi için bkz . Depolama için Azure yerleşik rolleri.
Kimlik doğrulaması için diğer genel denetimler
- Kaynağa tam olarak ne erişecek?
- Kullanıcı: İstemci IP adresi sanal ağ/alt ağ aralığında mı?
- Çalışma alanı: Çalışma alanı genel mi yoksa sanal ağda/alt ağda özel uç noktası mı var?
- Depolama: Depolama genel erişime izin verir mi, yoksa bir hizmet uç noktası veya özel uç nokta üzerinden erişimi kısıtlar mı?
- Planlanan işlem nedir?
- Azure Machine Learning tanıtıcıları
- Oluştur
- Okuma
- Güncelleştirme
- Veri deposunda/veri kümesinde Delete (CRUD) işlemleri.
- Azure Machine Learning stüdyosu'deki veri varlıklarındaki arşiv işlemleri için şu RBAC işlemi gerekir:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete - Veri erişim çağrıları (örneğin, önizleme veya şema) temel alınan depolamaya gider ve ek izinler gerektirir.
- Azure Machine Learning tanıtıcıları
- Bu işlem azure aboneliği işlem kaynaklarında mı yoksa Microsoft aboneliğinde barındırılan kaynaklarda mı çalıştırılacak?
- Veri kümesi ve veri deposu hizmetlerine yapılan
Generate Profiletüm çağrılar (seçenek hariç) işlemleri çalıştırmak için bir Microsoft aboneliğinde barındırılan kaynakları kullanır. - Veri kümesi
Generate Profileseçeneği dahil olmak üzere işler, aboneliğinizdeki bir işlem kaynağında çalışır ve verilere bu konumdan erişer. İşlem kimliğinin, işi gönderen kullanıcının kimliği yerine depolama kaynağı için izin alması gerekir.
- Veri kümesi ve veri deposu hizmetlerine yapılan
Bu diyagram, bir veri erişim çağrısının genel akışını gösterir. Burada kullanıcı, bir işlem kaynağı kullanmadan Machine Learning çalışma alanı üzerinden veri erişimi çağrısı yapmaya çalışır.
Senaryolar ve kimlik doğrulama seçenekleri
Bu tabloda belirli senaryolar için kullanılacak kimlikler listelenir:
| Yapılandırma | SDK yerel/not defteri sanal makinesi | İş | Veri Kümesi Önizlemesi | Veri deposuna göz atma |
|---|---|---|---|---|
| Kimlik Bilgisi + Çalışma Alanı MSI'sı | Referans | Referans | Çalışma Alanı MSI | Kimlik bilgileri (yalnızca hesap anahtarı ve paylaşılan erişim imzası belirteci) |
| Kimlik Bilgisi Yok + Çalışma Alanı MSI'sı | İşlem MSI/Kullanıcı kimliği | İşlem MSI/Kullanıcı kimliği | Çalışma Alanı MSI | Kullanıcı kimliği |
| Kimlik Bilgileri + Çalışma Alanı MSI'sı Yok | Referans | Referans | Kimlik bilgileri (özel ağ altında Veri Kümesi Önizlemesi için desteklenmez) | Kimlik bilgileri (yalnızca hesap anahtarı ve paylaşılan erişim imzası belirteci) |
| Kimlik Bilgisi Yok + Çalışma Alanı MSI'sı Yok | İşlem MSI/Kullanıcı kimliği | İşlem MSI/Kullanıcı kimliği | Kullanıcı kimliği | Kullanıcı kimliği |
SDK V1 için bir işteki veri kimlik doğrulaması her zaman işlem MSI'sini kullanır. SDK V2 için, bir işte veri kimlik doğrulaması iş ayarınıza bağlıdır. Bu iş ayarına bağlı olarak kullanıcı kimliği veya işlem MSI'sı olabilir.
İpucu
Machine Learning dışındaki verilere (örneğin, Azure Depolama Gezgini) erişmek için bu erişim büyük olasılıkla kullanıcı kimliğine dayanır. Belirli bilgiler için kullanmayı planladığınız aracın veya hizmetin belgelerini gözden geçirin. Machine Learning'in verilerle nasıl çalıştığı hakkında daha fazla bilgi için Azure Machine Learning ile diğer hizmetler arasında kimlik doğrulamasını ayarlama bölümünü ziyaret edin.
Sanal ağa özgü gereksinimler
Bu bilgiler, sanal ağın arkasındaki verilere erişmek için Machine Learning çalışma alanından veri kimlik doğrulamasını ayarlamanıza yardımcı olur.
Machine Learning çalışma alanı yönetilen kimliğine depolama hesabının izinlerini ekleme
Stüdyodan bir depolama hesabı kullandığınızda, Veri Kümesi Önizlemesi'ni görmek istiyorsanız Veri deposu ayarındaki Azure Machine Learning stüdyosu veri önizlemesi ve profil oluşturma için çalışma alanı yönetilen kimliğini kullan'ı etkinleştirmeniz gerekir. Ardından bu depolama hesabı Azure RBAC rollerini çalışma alanı yönetilen kimliğine ekleyin:
- Blob Veri Okuyucusu
- Depolama hesabı sanal ağa bağlanmak için özel bir uç nokta kullanıyorsa, yönetilen kimliğe depolama hesabı özel uç noktası için Okuyucu rolü vermelisiniz.
Daha fazla bilgi için Bkz. Azure sanal ağında Azure Machine Learning stüdyosu kullanma.
Bu bölümlerde, çalışma alanınızla birlikte bir sanal ağda depolama hesabı kullanmanın sınırlamaları açıklanmaktadır.
Depolama hesabıyla güvenli iletişim
Machine Learning ile depolama hesapları arasındaki iletişimin güvenliğini sağlamak için depolama alanını güvenilen Azure hizmetlerine erişim izni vermek üzere yapılandırın.
Azure Depolama güvenlik duvarı
Sanal ağın arkasında bulunan bir depolama hesabı için depolama güvenlik duvarı normalde istemcinizin İnternet üzerinden doğrudan bağlanmasına izin verebilir. Ancak, stüdyoyu kullandığınızda istemciniz depolama hesabına bağlanmaz. İsteği yapan Machine Learning hizmeti depolama hesabına bağlanır. Hizmetin IP adresi belgelenmez ve sık sık değişir. Depolama güvenlik duvarının etkinleştirilmesi, stüdyonun sanal ağ yapılandırmasındaki depolama hesabına erişmesine izin vermez.
Azure Depolama uç noktası türü
Çalışma alanı özel uç nokta kullandığında ve depolama hesabı da sanal ağda olduğunda, stüdyoyu kullandığınızda ek doğrulama gereksinimleri ortaya çıkar.
- Depolama hesabı bir hizmet uç noktası kullanıyorsa, çalışma alanı özel uç noktası ve depolama hizmeti uç noktası sanal ağın aynı alt ağında bulunmalıdır.
- Depolama hesabı özel uç nokta kullanıyorsa, çalışma alanı özel uç noktası ve depolama özel uç noktası aynı sanal ağda bulunmalıdır. Bu durumda farklı alt ağlarda olabilirler.
Azure Data Lake Storage Gen1
Veri deposu olarak Azure Data Lake Storage 1. Nesil kullandığınızda, yalnızca POSIX stili erişim denetim listelerini kullanabilirsiniz. Çalışma alanının yönetilen kimlik erişimini diğer güvenlik sorumluları gibi kaynaklara atayabilirsiniz. Daha fazla bilgi için Bkz. Azure Data Lake Storage 1. Nesil'de erişim denetimi.
Azure Data Lake Storage 2. Nesil
veri deposu olarak Azure Data Lake Storage 2. Nesil kullandığınızda, sanal ağ içindeki veri erişimini denetlemek için hem Azure RBAC hem de POSIX stili erişim denetim listelerini (ACL' ler) kullanabilirsiniz.
- Azure RBAC'yi kullanmak için: Datastore: Azure Depolama hesabı bölümünde açıklanan adımları izleyin. Data Lake Storage 2. Nesil, Azure Depolama'yı temel alır, bu nedenle Azure RBAC kullanırken aynı adımlar uygulanır.
- ACL'leri kullanmak için: Çalışma alanının yönetilen kimliğine diğer güvenlik sorumluları gibi erişim atanabilir. Daha fazla bilgi için dosyalar ve dizinler üzerindeki Erişim denetim listelerini ziyaret edin.
Sonraki adımlar
Bir ağda stüdyoyu etkinleştirme hakkında bilgi için bkz. Azure sanal ağında Azure Machine Learning stüdyosu kullanma.