Uso de claves administradas por el cliente con Azure Machine Learning
En el artículo sobre los conceptos de claves administradas por el cliente, ha aprendido sobre las funcionalidades de cifrado que ofrece Azure Machine Learning. Ahora aprenda a usar claves administradas por el cliente con Azure Machine Learning.
Las claves administradas por el cliente se usan con los siguientes servicios en los que se basa Azure Machine Learning:
Service | Para qué se usa |
---|---|
Azure Cosmos DB | Almacena metadatos para Azure Machine Learning |
Azure AI Search | Almacena metadatos de áreas de trabajo para Azure Machine Learning |
Azure Storage | Almacena metadatos de áreas de trabajo para Azure Machine Learning |
Azure Kubernetes Service | Hospedaje de modelos entrenados como puntos de conexión de inferencias |
Use la misma clave para ayudar a proteger Azure Cosmos DB, Búsqueda de Azure AI y Azure Storage. Puede usar una clave diferente para Azure Kubernetes Service.
Cuando usa una clave administrada por el cliente con Azure Cosmos DB, Búsqueda de Azure AI y Azure Storage, la clave se proporciona al crear el área de trabajo. La clave que se usa con Azure Kubernetes Service se proporciona al configurar ese recurso.
Service | Para qué se usa |
---|---|
Azure Cosmos DB | Almacena metadatos para Azure Machine Learning |
Azure AI Search | Almacena metadatos de áreas de trabajo para Azure Machine Learning |
Azure Storage | Almacena metadatos de áreas de trabajo para Azure Machine Learning |
Azure Kubernetes Service | Hospedaje de modelos entrenados como puntos de conexión de inferencias |
Azure Container Instances | Hospedaje de modelos entrenados como puntos de conexión de inferencias |
Use la misma clave para ayudar a proteger Azure Cosmos DB, Búsqueda de Azure AI y Azure Storage. Puede usar una clave diferente para Azure Kubernetes Service y Azure Container Instances.
Cuando usa una clave administrada por el cliente con Azure Cosmos DB, Búsqueda de Azure AI y Azure Storage, la clave se proporciona al crear el área de trabajo. Las claves que se usan con Azure Container Instances y Azure Kubernetes Service se proporcionan al configurar esos recursos.
Requisitos previos
Suscripción a Azure.
Se deben registrar los siguientes proveedores de recursos de Azure:
Proveedor de recursos Por qué se necesita Microsoft.MachineLearningServices Creación del área de trabajo de Azure Machine Learning. Microsoft.Storage La cuenta de Storage se usa como almacenamiento predeterminado del área de trabajo. Microsoft.KeyVault El área de trabajo usa Azure Key Vault para almacenar secretos. Microsoft.DocumentDB Instancia de Azure Cosmos DB que registra los metadatos del área de trabajo. Microsoft.Search Búsqueda de Azure AI proporciona funcionalidades de indexación para el área de trabajo. Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Registro del proveedor de recursos.
Limitaciones
- Tras la creación del área de trabajo, la clave de cifrado administrada por el cliente para los recursos de los que depende el área de trabajo solo se puede actualizar a otra clave del recurso original de Azure Key Vault.
- No se puede transferir a usted la propiedad de los recursos administrados por Microsoft en su suscripción.
- No se pueden eliminar los recursos administrados por Microsoft que se usan para las claves administradas por el cliente sin eliminar también el área de trabajo.
- El almacén de claves que contiene la clave administrada por el cliente debe estar en la misma suscripción de Azure que el área de trabajo de Azure Machine Learning.
- El disco del sistema operativo del proceso de aprendizaje automático no se puede cifrar con una clave administrada por el cliente, pero se puede cifrar con la clave administrada por Microsoft si el área de trabajo se crea con el parámetro
hbi_workspace
establecido enTRUE
. Para más información, consulte Cifrado de datos.
Importante
Cuando se usa una clave administrada por el cliente, los costos de la suscripción serán mayores, debido a los recursos adicionales de la suscripción. Puede usar la calculadora de precios de Azure para calcular los costos.
Crear una instancia de Azure Key Vault
Para crear el almacén de claves, consulte Creación de un almacén de claves. Al crear la instancia de Azure Key Vault, debe habilitar la eliminación temporal y la protección de purga.
Importante
El almacén de claves debe estar en la misma suscripción de Azure que contendrá el área de trabajo de Azure Machine Learning.
Crear una clave
Sugerencia
Si tiene problemas para crear la clave, puede deberse a que se han aplicado controles de acceso basado en roles de Azure en la suscripción. Asegúrese de que a la entidad de seguridad (usuario, identidad administrada, entidad de servicio, etc.) que usa para crear la clave tenga asignado el rol Colaborador para la instancia del almacén de claves. Además, tiene que configurar una Directiva de acceso en el almacén de claves, que conceda la autorización Crear, Obtener, Eliminar y Purgar a la entidad de seguridad.
Si tiene previsto usar una identidad administrada asignada por el usuario para el área de trabajo, a la identidad administrada también se le deben asignar estos roles y directivas de acceso.
Para más información, consulte los siguientes artículos.
En Azure Portal, seleccione la instancia de Key Vault. A continuación, seleccione Claves a la izquierda.
Seleccionar + Generar o importar en la parte superior de la página. Use los valores siguientes para crear una clave:
- Establezca Opciones en Generar.
- Escriba el Nombre de la clave. El nombre debe ser algo que identifique cuál es el uso planeado. Por ejemplo,
my-cosmos-key
. - Establezca Tipo de clave en RSA.
- Se recomienda seleccionar al menos 3072 para el Tamaño de la clave RSA.
- Deje Habilitado establecido en Sí.
De manera opcional, puede establecer una fecha de activación, una fecha de expiración y etiquetas.
Seleccione Crear para crear la clave.
Permiso para que Azure Cosmos DB acceda a la clave
- Para configurar el almacén de claves, selecciónelo en Azure Portal y, a continuación, seleccione Directivas de acceso en el menú izquierdo.
- Para crear permisos para Azure Cosmos DB, seleccione + Crear en la parte superior de la página. En Permisos de clave, seleccione los permisos Obtener, Encapsular clave y Desencapsular clave.
- En Entidad de seguridad, busque Azure Cosmos DB y selecciónela. El identificador de la entidad de seguridad de esta entrada es
a232010e-820c-4083-83bb-3ace5fc29d0b
para todas las regiones distintas de Azure Government. Para Azure Government, el identificador de la entidad de seguridad es57506a73-e302-42a9-b869-6f12d9ec29e9
. - Seleccione Revisar y crear y, luego, Crear.
Creación de un área de trabajo que usa una clave administrada por el cliente
Cree un área de trabajo de Azure Machine Learning. Al crear el área de trabajo, debe seleccionar la instancia de Azure Key Vault y la clave. En función de cómo cree el área de trabajo, especifique estos recursos de maneras diferentes:
Advertencia
El almacén de claves que contiene la clave administrada por el cliente debe estar en la misma suscripción de Azure que el área de trabajo.
Azure Portal: Seleccione el almacén de claves y la clave en un cuadro de entrada desplegable al configurar el área de trabajo.
SDK, API REST y plantillas de Azure Resource Manager: Proporcione el identificador de Azure Resource Manager del almacén de claves y la dirección URL de la clave. Para obtener estos valores, use la CLI de Azure y los siguientes comandos:
# Replace `mykv` with your key vault name. # Replace `mykey` with the name of your key. # Get the Azure Resource Manager ID of the key vault az keyvault show --name mykv --query id # Get the URL for the key az keyvault key show --vault-name mykv -n mykey --query key.kid
El valor del identificador del almacén de claves será similar a
/subscriptions/{GUID}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/mykv
. La dirección URL de la clave será similar ahttps://mykv.vault.azure.net/keys/mykey/{GUID}
.
Para obtener ejemplos de creación del área de trabajo con una clave administrada por el cliente, consulte los siguientes artículos:
Método de creación | Artículo |
---|---|
CLI | Creación de un área de trabajo con la CLI de Azure |
Azure Portal/ SDK de Python |
Creación y administración de un área de trabajo |
Plantilla de Azure Resource Manager |
Creación de un área de trabajo con una plantilla |
API DE REST | Creación, ejecución y eliminación de recursos de Azure Machine Learning mediante REST |
Una vez creada el área de trabajo, observará que el grupo de recursos de Azure se crea en la suscripción. Este grupo se suma al grupo de recursos para el área de trabajo. Este grupo de recursos contendrá los recursos administrados por Microsoft con los que se usa la clave. El nombre del grupo de recursos se denominará mediante la fórmula de <Azure Machine Learning workspace resource group name><GUID>
. Contendrá una instancia de Azure Cosmos DB, una cuenta de almacenamiento de Azure Storage y Azure AI Search.
Sugerencia
- Las Unidades de solicitud de la instancia de Azure Cosmos DB se escalan automáticamente según sea necesario.
- Si el área de trabajo de Azure Machine Learning usa un punto de conexión privado, este grupo de recursos también contendrá una instancia de Azure Virtual Network administrada por Microsoft. Esta red virtual se usa para proteger las comunicaciones entre los servicios administrados y el área de trabajo. No puede proporcionar su propia red virtual propia para usarla con los recursos administrados por Microsoft. Tampoco puede modificar la red virtual. Por ejemplo, no puede cambiar el rango de direcciones IP que usa.
Importante
Si la suscripción no tiene suficiente cuota para estos servicios, se producirá un error.
Advertencia
No elimine el grupo de recursos que contiene esta instancia de Azure Cosmos DB, ni ninguno de los recursos que se crean de forma automática en este grupo. Si tiene que eliminar el grupo de recursos o los servicios administrados por Microsoft en él incluidos, debe eliminar el área de trabajo de Azure Machine Learning que lo usa. Los recursos del grupo de recursos se eliminan cuando se elimina el área de trabajo asociada.
Para más información sobre las claves administradas por el cliente con Azure Cosmos DB, vea el artículo Configuración de claves administradas por el cliente para la cuenta de Azure Cosmos DB.
Azure Container Instances
Importante
La implementación en Azure Container Instances no está disponible en el SDK o la CLI v2. Solo mediante el SDK y la CLI v1.
Al implementar un modelo entrenado en una instancia de Azure Container (ACI), puede cifrar el recurso implementado mediante una clave administrada por el cliente. Para obtener información sobre cómo generar una clave, consulte Cifrado de datos con una clave administrada por el cliente.
Para usar la clave al implementar un modelo en una instancia de Azure Container Instances, cree una nueva configuración de implementación mediante AciWebservice.deploy_configuration()
. Proporcione la información de clave con los parámetros siguientes:
cmk_vault_base_url
: La dirección URL del almacén de claves que contiene la clave.cmk_key_name
: El nombre de la clave.cmk_key_version
: La versión de la clave.
Para obtener más información sobre la creación y el uso de una configuración de implementación, vea los siguientes artículos:
Implementación de un modelo en Azure Container Instances (SDK/CLI v1)
Para obtener más información sobre el uso de una clave administrada por el cliente con ACI, consulte Cifrado de datos de implementación.
Azure Kubernetes Service
Puede cifrar un recurso implementado de Azure Kubernetes Service mediante claves administradas por el cliente en cualquier momento. Para más información, consulte Traiga sus propias claves (BYOK) con discos de Azure en Azure Kubernetes Service (AKS).
Este proceso permite cifrar los datos y el disco del sistema operativo de las máquinas virtuales implementadas en el clúster de Kubernetes.
Importante
Este proceso solo funciona con la versión 1.17 de AKS K8s o con versiones posteriores.