Administrowanie danymi

Dowiedz się, jak zarządzać dostępem do danych i jak uwierzytelniać się w usłudze Azure Machine Learning.

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)

Ważne

Ten artykuł jest przeznaczony dla administratorów platformy Azure, którzy chcą utworzyć wymaganą infrastrukturę dla rozwiązania Azure Machine Learning.

Uwierzytelnianie danych oparte na poświadczeniach

Ogólnie rzecz biorąc, uwierzytelnianie danych na podstawie poświadczeń obejmuje następujące kontrole:

• Sprawdź, czy użytkownik, który uzyskuje dostęp do danych z magazynu danych opartych na poświadczeniach, ma przypisaną rolę z kontrolą dostępu opartą na rolach (RBAC), która zawiera Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action

  • To uprawnienie jest wymagane do pobierania poświadczeń z magazynu danych dla użytkownika.

  • Wbudowane role, które już zawierają następujące uprawnienia:

    • Współautor
    • Deweloper sztucznej inteligencji platformy Azure
    • Badacze dancyh usługi Azure Machine Learning
    • Alternatywnie, jeśli zostanie zastosowana rola niestandardowa, to uprawnienie musi zostać dodane do tej roli niestandardowej

  • Musisz wiedzieć , który konkretny użytkownik chce uzyskać dostęp do danych. Określony użytkownik może być prawdziwym użytkownikiem z tożsamością użytkownika. Może to być również komputer z tożsamością zarządzaną obliczeniową (MSI). Aby uzyskać więcej informacji, odwiedź sekcję Scenariusze i opcje uwierzytelniania, aby określić tożsamość, która wymaga dodanego uprawnienia.

• Czy przechowywane poświadczenia (jednostka usługi, klucz konta lub token sygnatury dostępu współdzielonego) mają dostęp do zasobu danych?

Uwierzytelnianie danych oparte na tożsamościach

Ogólnie rzecz biorąc, uwierzytelnianie danych oparte na tożsamości obejmuje następujące kontrole:

• Który użytkownik chce uzyskać dostęp do zasobów?
  • Dostępne są różne typy uwierzytelniania w zależności od kontekstu w momencie uzyskiwania dostępu do danych. Na przykład: .
    • Tożsamość użytkownika
    • Tożsamość zarządzana obliczeniowa
    • Tożsamość zarządzana obszaru roboczego
  • Zadania, w tym opcja zestawu danych Generate Profile , są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość zarządzana obliczeniowa wymaga uprawnień dostępu do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie.
  • W przypadku uwierzytelniania na podstawie tożsamości użytkownika musisz wiedzieć , który konkretny użytkownik próbował uzyskać dostęp do zasobu magazynu. Aby uzyskać więcej informacji na temat uwierzytelniania użytkowników , odwiedź stronę Authentication for Azure Machine Learning (Uwierzytelnianie w usłudze Azure Machine Learning). Aby uzyskać więcej informacji na temat uwierzytelniania na poziomie usług, odwiedź stronę Authentication between Azure Machine Learning and other services (Uwierzytelnianie między usługą Azure Machine Learning i innymi usługami).
• Czy ten użytkownik ma uprawnienia do odczytu dla zasobu?
  • Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa mają niezbędne uprawnienia dla tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure.
  • Czytelnik konta magazynu odczytuje metadane magazynu.
  • Czytnik danych obiektu blob usługi Storage odczytuje i wyświetla kontenery magazynu oraz obiekty blob.
  • Czytnik uprzywilejowanych danych plików magazynu zawiera listę plików i katalogów w udziałach plików platformy Azure.
  • Aby uzyskać więcej informacji, odwiedź stronę Role wbudowane platformy Azure dla magazynu.
• Czy ten użytkownik ma uprawnienia do zapisu dla zasobu?
  • Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa mają niezbędne uprawnienia dla tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure.
  • Czytelnik konta magazynu odczytuje metadane magazynu.
  • Współautor danych obiektu blob usługi Storage odczytuje, zapisuje i usuwa kontenery i obiekty blob usługi Azure Storage.
  • Współautor uprzywilejowany współautor danych plików magazynu odczytuje, zapisuje, usuwa i modyfikuje listy kontroli dostępu w plikach i katalogach w udziałach plików platformy Azure.
  • Aby uzyskać więcej informacji, odwiedź stronę Role wbudowane platformy Azure dla magazynu.

Inne ogólne kontrole uwierzytelniania

• Co dokładnie uzyska dostęp do zasobu?
  • Użytkownik: czy adres IP klienta znajduje się w zakresie sieci wirtualnej/podsieci?
  • Obszar roboczy: czy obszar roboczy jest publiczny, czy ma prywatny punkt końcowy w sieci wirtualnej/podsieci?
  • Magazyn: Czy magazyn zezwala na dostęp publiczny, czy ogranicza dostęp za pośrednictwem punktu końcowego usługi lub prywatnego punktu końcowego?
• Jaka jest planowana operacja?
  • Dojścia usługi Azure Machine Learning
    • Utwórz
    • Przeczytaj
    • Update
    • Operacje Delete (CRUD) w magazynie danych/zestawie danych.
  • Operacje archiwizowania zasobów danych w usłudze Azure Machine Learning Studio wymagają tej operacji kontroli dostępu opartej na rolach: Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
  • Wywołania dostępu do danych (na przykład wersja zapoznawcza lub schemat) przechodzą do magazynu bazowego i wymagają dodatkowych uprawnień.
• Czy ta operacja zostanie uruchomiona w zasobach obliczeniowych subskrypcji platformy Azure lub zasobach hostowanych w ramach subskrypcji firmy Microsoft?
  • Wszystkie wywołania usług zestawu danych i magazynu danych (z wyjątkiem Generate Profile opcji) używają zasobów hostowanych w subskrypcji firmy Microsoft do uruchamiania operacji.
  • Zadania, w tym opcja zestawu danych Generate Profile , są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość obliczeniowa wymaga uprawnień do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie.

Ten diagram przedstawia ogólny przepływ wywołania dostępu do danych. W tym miejscu użytkownik próbuje wykonać wywołanie dostępu do danych za pośrednictwem obszaru roboczego usługi Machine Learning bez użycia zasobu obliczeniowego.

Scenariusze i opcje uwierzytelniania

W tej tabeli wymieniono tożsamości do użycia w określonych scenariuszach:

Konfigurowanie	Maszyna wirtualna lokalnego/notesu zestawu SDK	Zadanie	Podgląd zestawu danych	Przeglądanie magazynu danych
Poświadczenia i tożsamość usługi zarządzanej obszaru roboczego	Referencje	Referencje	Tożsamość usługi zarządzanej obszaru roboczego	Poświadczenia (tylko klucz konta i token sygnatury dostępu współdzielonego)
Brak poświadczeń i tożsamości usługi zarządzanej obszaru roboczego	Obliczanie tożsamości usługi zarządzanej/użytkownika	Obliczanie tożsamości usługi zarządzanej/użytkownika	Tożsamość usługi zarządzanej obszaru roboczego	Tożsamość użytkownika
Poświadczenia i brak tożsamości usługi zarządzanej obszaru roboczego	Referencje	Referencje	Poświadczenia (nieobsługiwane w wersji zapoznawczej zestawu danych w sieci prywatnej)	Poświadczenia (tylko klucz konta i token sygnatury dostępu współdzielonego)
Brak poświadczeń i brak tożsamości usługi zarządzanej obszaru roboczego	Obliczanie tożsamości usługi zarządzanej/użytkownika	Obliczanie tożsamości usługi zarządzanej/użytkownika	Tożsamość użytkownika	Tożsamość użytkownika

W przypadku zestawu SDK w wersji 1 uwierzytelnianie danych w zadaniu zawsze używa obliczeniowej tożsamości usługi zarządzanej. W przypadku zestawu SDK w wersji 2 uwierzytelnianie danych w zadaniu zależy od ustawienia zadania. Może to być tożsamość użytkownika lub obliczanie tożsamości usługi zarządzanej na podstawie tego ustawienia zadania.

Napiwek

Aby uzyskać dostęp do danych spoza usługi Machine Learning — na przykład przy użyciu Eksplorator usługi Azure Storage — dostęp ten prawdopodobnie opiera się na tożsamości użytkownika. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją narzędzia lub usługi, która ma być używana. Aby uzyskać więcej informacji na temat sposobu pracy usługi Machine Learning z danymi, zobacz Konfigurowanie uwierzytelniania między usługą Azure Machine Learning i innymi usługami.

Wymagania specyficzne dla sieci wirtualnej

Te informacje ułatwiają skonfigurowanie uwierzytelniania danych z obszaru roboczego usługi Machine Learning w celu uzyskania dostępu do danych za siecią wirtualną.

Dodawanie uprawnień konta magazynu do tożsamości zarządzanej obszaru roboczego usługi Machine Learning

Jeśli używasz konta magazynu z programu Studio, jeśli chcesz wyświetlić podgląd zestawu danych, musisz włączyć opcję Użyj tożsamości zarządzanej obszaru roboczego na potrzeby podglądu danych i profilowania w usłudze Azure Machine Learning Studio w ustawieniu magazynu danych. Następnie dodaj następujące role kontroli dostępu opartej na rolach platformy Azure konta magazynu do tożsamości zarządzanej obszaru roboczego:

• Czytnik danych obiektów blob
• Jeśli konto magazynu używa prywatnego punktu końcowego do nawiązania połączenia z siecią wirtualną, musisz przyznać rolę Czytelnik dla prywatnego punktu końcowego konta magazynu do tożsamości zarządzanej.

Aby uzyskać więcej informacji, odwiedź stronę Korzystanie z usługi Azure Machine Learning Studio w sieci wirtualnej platformy Azure.

W tych sekcjach opisano ograniczenia dotyczące używania konta magazynu z obszarem roboczym w sieci wirtualnej.

Bezpieczna komunikacja przy użyciu konta magazynu

Aby zabezpieczyć komunikację między usługą Machine Learning i kontami magazynu, skonfiguruj magazyn w celu udzielenia dostępu do zaufanych usług platformy Azure.

Zapora usługi Azure Storage

W przypadku konta magazynu znajdującego się za siecią wirtualną zapora magazynu może zwykle zezwalać klientowi na bezpośrednie łączenie się przez Internet. Jednak w przypadku korzystania z programu Studio klient nie łączy się z kontem magazynu. Usługa Machine Learning, która wysyła żądanie, łączy się z kontem magazynu. Adres IP usługi nie jest udokumentowany i często się zmienia. Włączenie zapory magazynu nie zezwala programowi Studio na dostęp do konta magazynu w konfiguracji sieci wirtualnej.

Typ punktu końcowego usługi Azure Storage

Gdy obszar roboczy używa prywatnego punktu końcowego, a konto magazynu znajduje się również w sieci wirtualnej, podczas korzystania z programu Studio pojawiają się dodatkowe wymagania dotyczące walidacji.

• Jeśli konto magazynu używa punktu końcowego usługi, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej podsieci sieci wirtualnej.
• Jeśli konto magazynu używa prywatnego punktu końcowego , prywatny punkt końcowy obszaru roboczego i prywatny punkt końcowy magazynu muszą znajdować się w tej samej sieci wirtualnej. W takim przypadku mogą znajdować się w różnych podsieciach.

Usługa Azure Data Lake Storage 1. generacji

W przypadku używania usługi Azure Data Lake Storage Gen1 jako magazynu danych można używać tylko list kontroli dostępu w stylu POSIX. Tożsamość zarządzana obszaru roboczego można przypisać do zasobów, podobnie jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, odwiedź stronę Kontrola dostępu w usłudze Azure Data Lake Storage Gen1.

Azure Data Lake Storage Gen2

W przypadku używania usługi Azure Data Lake Storage Gen2 jako magazynu danych można użyć zarówno kontroli dostępu opartej na rolach platformy Azure, jak i list kontroli dostępu w stylu POSIX (ACL) w celu kontrolowania dostępu do danych wewnątrz sieci wirtualnej.

• Aby użyć kontroli dostępu opartej na rolach platformy Azure: wykonaj kroki opisane w artykule Magazyn danych: konto usługi Azure Storage. Usługa Data Lake Storage Gen2 jest oparta na usłudze Azure Storage, dlatego te same kroki mają zastosowanie podczas korzystania z kontroli dostępu opartej na rolach platformy Azure.
• Aby użyć list ACL: tożsamość zarządzana obszaru roboczego może być przypisana jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, odwiedź stronę Listy kontroli dostępu w plikach i katalogach.

Następne kroki

Aby uzyskać informacje na temat włączania programu Studio w sieci, zobacz Korzystanie z usługi Azure Machine Learning Studio w sieci wirtualnej platformy Azure.