Azure Machine Learning ジョブで認証資格情報シークレットを使用する

適用対象: Python SDK azure-ai-ml v2 (現行)

ユーザー名やパスワードなどの認証情報はシークレットです。 たとえば、トレーニング データを問い合わせる目的で外部データベースに接続する場合、リモート ジョブ コンテキストにユーザー名とパスワードを渡す必要があります。 このような値をクリア テキストでトレーニング スクリプトにコーディングすると、シークレットが公開される可能性があるので安全ではありません。

Azure Key Vault を使用すると、シークレットを安全に格納および取得できます。 この記事では、コンピューティング クラスターで実行されているトレーニング ジョブから、キー コンテナーに格納されているシークレットを取得する方法について説明します。

重要

機械学習用の Azure Machine Learning Python SDK v2 と Azure CLI 拡張機能 v2 には、シークレットを設定または取得する機能はありません。 代わりに、この記事の情報では、Python 用 Azure Key Vault シークレット クライアント ライブラリを使用します。

前提条件

この記事の手順に従う前に、次の前提条件が満たされていることをご確認ください。

ヒント

このセクションの前提条件の多くでは、お使いの Azure サブスクリプション、またはリソースを含む Azure リソース グループへの共同作成者、所有者、または同等のアクセス権が必要です。 Azure 管理者に連絡し、これらのアクションを実行してもらう必要がある場合があります。

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。 無料版または有料版の Azure Machine Learning をお試しください。

• Azure Machine Learning ワークスペース。 お持ちでない場合は、作業を開始するためのリソースの作成に関する記事の手順を使用して作成できます。

• Azure Key Vault。 作業を開始するためのリソースの作成に関する記事を使用してワークスペースを作成した場合は、キー コンテナーが自動的に作成されています。 クイック スタート: キー コンテナーの作成に関する記事の情報を使用して、別のキー コンテナー インスタンスを作成することもできます。

  ヒント

  ワークスペースと同じキー コンテナーを使用する必要はありません。

• (省略可能) マネージド ID を使用するように構成された Azure Machine Learning コンピューティング クラスター。 このクラスターは、システム割り当てまたはユーザー割り当てのどちらかのマネージド ID に対して構成できます。

• ジョブがコンピューティング クラスター上で実行される場合は、コンピューティング クラスターのマネージド ID に、キー コンテナーに保存されているシークレットへのアクセス権を付与します。 また、ジョブがサーバーレス コンピューティング上で実行される場合は、ジョブに指定されたマネージド ID にシークレットへのアクセス権を付与します。 アクセス権の付与に使用する方法は、キー コンテナーの構成方法によって異なります。

  • Azure ロールベースのアクセス制御 (Azure RBAC): Azure RBAC 用に構成されている場合は、キー コンテナーの Key Vault Secrets User ロールにマネージド ID を追加します。
  • Azure Key Vault アクセス ポリシー: アクセス ポリシーを使用するように構成されている場合は、シークレットの取得操作を許可する新しいポリシーを追加し、マネージド ID に割り当てます。

• キー コンテナーに格納されているシークレット値。 この値は、キーを使用して取得できます。 詳細については、クイック スタート: Azure Key Vault との間でシークレットの設定と取得を行うに関する記事を参照してください。

  ヒント

  このクイック スタートのリンクは、Azure Key Vault Python SDK を使用する場合の手順です。 左側のナビゲーション領域の目次には、キーを設定する他の方法へのリンクがあります。

シークレットの取得

トレーニング中にシークレットを取得するには、次の 2 つの方法があります。

• トレーニング ジョブが実行されるコンピューティング リソースに関連付けられているマネージド ID を使用する。
• ユーザーの代わりにコンピューティングにジョブを実行させることで、ユーザー自身の ID を使用する。

マネージド ID

1. モデルのトレーニング時に使用する Azure Machine Learning 環境に、azure-keyvault-secrets および azure-identity パッケージを追加します。 たとえば、環境の構築に使用する conda ファイルに追加します。

   この環境は、トレーニング ジョブがコンピューティング クラスターで実行する Docker イメージの構築に使用されます。

2. トレーニング コードから、Azure Identity SDK と Key Vault クライアント ライブラリを使用してマネージド ID 資格情報を取得し、キー コンテナーに対して認証します。

   from azure.identity import DefaultAzureCredential
   from azure.keyvault.secrets import SecretClient
   
   credential = DefaultAzureCredential()
   
   secret_client = SecretClient(vault_url="https://my-key-vault.vault.azure.net/", credential=credential)
   

3. 認証後、Key Vault クライアント ライブラリを使用して、関連付けられているキーを指定することでシークレットを取得します。

   secret = secret_client.get_secret("secret-name")
   print(secret.value)
   

ユーザー ID

1. モデルのトレーニング時に使用する Azure Machine Learning 環境に、azure-keyvault-secrets、azure-identity、および azure-ai-ml パッケージを追加します。 たとえば、環境の構築に使用する conda ファイルに追加します。

   この環境は、トレーニング ジョブがコンピューティング クラスターで実行する Docker イメージの構築に使用されます。

2. トレーニング コードから、Azure Machine Learning SDK と Key Vault クライアント ライブラリを使用してマネージド ID 資格情報を取得し、キー コンテナーに対して認証します。 AzureMLOnBehalfOfCredential クラスは、ユーザー ID に代わって認証するために使用されます。

   from azure.ai.ml.identity import AzureMLOnBehalfOfCredential
   from azure.keyvault.secrets import SecretClient
   
   credential = AzureMLOnBehalfOfCredential()
   secret_client = SecretClient(vault_url="https://my-key-vault.vault.azure.net/", credential=credential)
   

   認証後、Key Vault クライアント ライブラリを使用して、関連付けられているキーを指定することでシークレットを取得します。

   secret = secret_client.get_secret("secret-name")
   print(secret.value)
   

3. トレーニング ジョブを送信するときは、identity=UserIdentityConfiguration() を使用してユーザー ID に代わって実行することを指定する必要があります。 次の例では、このパラメーターを使用してジョブを送信します。

   from azure.ai.ml import Input, command
   from azure.ai.ml.constants import AssetTypes
   from azure.ai.ml.entities import UserIdentityConfiguration
   
   job = command(
       code="./sdk/ml/azure-ai-ml/samples/src",
       command="python read_data.py --input_data ${{inputs.input_data}}",
       inputs={"input_data": Input(type=AssetTypes.MLTABLE, path="./sample_data")},
       environment="AzureML-sklearn-1.0-ubuntu20.04-py38-cpu:1",
       compute="cpu-cluster",
       identity=UserIdentityConfiguration(),
   )
   

   Azure CLI を使用してユーザー ID を使用するジョブを送信する例については、Https://github.com/Azure/azureml-examples/blob/d4c90eead3c1fd97393d0657f7a78831490adf1c/cli/jobs/single-step/on-behalf-of/README.md を参照してください。

関連するコンテンツ

Azure Machine Learning Python SDK v2 を使用してトレーニング ジョブを送信する例については、Python SDK v2 を使用したモデルのトレーニングに関する記事を参照してください。