Dela via

Dataadministration

  • Artikel

Lär dig hur du hanterar dataåtkomst och hur du autentiserar i Azure Machine Learning.

GÄLLER FÖR:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (aktuell)

Viktigt!

Den här artikeln är avsedd för Azure-administratörer som vill skapa den infrastruktur som krävs för en Azure Machine Learning-lösning.

Autentiseringsbaserad dataautentisering

I allmänhet omfattar autentiseringsbaserad dataautentisering följande kontroller:

  • Kontrollera att användaren som kommer åt data från det autentiseringsbaserade dataarkivet har en tilldelad roll med rollbaserad åtkomstkontroll (RBAC) som innehåller Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action

    • Den här behörigheten krävs för att hämta autentiseringsuppgifter från datalagringen för användaren.

    • Inbyggda roller som redan innehåller den här behörigheten:

    • Du måste veta vilken specifik användare som vill komma åt data. En specifik användare kan vara en riktig användare med en användaridentitet. Det kan också vara en dator med beräkningshanterad identitet (MSI). Mer information finns i avsnittet Scenarier och autentiseringsalternativ för att fastställa den identitet som behöver den tillagda behörigheten.

  • Har den lagrade autentiseringsuppgiften (tjänstens huvudnamn, kontonyckel eller signaturtoken för delad åtkomst) åtkomst till dataresursen?

Identitetsbaserad dataautentisering

I allmänhet omfattar identitetsbaserad dataautentisering följande kontroller:

  • Vilken användare vill komma åt resurserna?
    • Olika typer av autentisering är tillgängliga, beroende på kontexten när data används. Till exempel:
      • Användaridentitet
      • Beräkna hanterad identitet
      • Hanterad identitet för arbetsyta
    • Jobb, inklusive datamängdsalternativet Generate Profile , körs på en beräkningsresurs i din prenumeration och får åtkomst till data från den platsen. Den beräkningshanterade identiteten behöver behörighet att komma åt lagringsresursen i stället för identiteten för den användare som skickade jobbet.
    • För autentisering baserat på en användaridentitet måste du veta vilken specifik användare som försökte komma åt lagringsresursen. Mer information om användarautentisering finns i Autentisering för Azure Machine Learning. Mer information om autentisering på tjänstnivå finns i Autentisering mellan Azure Machine Learning och andra tjänster.
  • Har den här användaren läsbehörighet för resursen?
    • Har användaridentiteten eller den beräkningshanterade identiteten de behörigheter som krävs för lagringsresursen? Behörigheter beviljas med hjälp av Azure RBAC.
    • Lagringskontoläsaren läser lagringsmetadata.
    • Storage Blob Data Reader läser och listar lagringscontainrar och blobar.
    • Lagringsfilens dataprivilegierade läsare innehåller en lista över filer och kataloger i Azure-filresurser.
    • Mer information finns i Inbyggda Azure-roller för lagring.
  • Har den här användaren skrivbehörighet för resursen?

Andra allmänna autentiseringskontroller

  • Vad exakt kommer åtkomsten till resursen?
    • Användare: Är klientens IP-adress i det virtuella nätverket/undernätsintervallet?
    • Arbetsyta: Är arbetsytan offentlig eller har den en privat slutpunkt i ett virtuellt nätverk/undernät?
    • Lagring: Tillåter lagringen offentlig åtkomst eller begränsar den åtkomsten via en tjänstslutpunkt eller en privat slutpunkt?
  • Vad är den planerade åtgärden?
    • Azure Machine Learning-handtag
      • Skapa
      • Läs
      • Uppdatering
      • Delete-åtgärder (CRUD) på ett datalager/en datauppsättning.
    • Arkivåtgärder på datatillgångar i Azure Machine Learning-studio kräver den här RBAC-åtgärden:Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
    • Dataåtkomstanrop (till exempel förhandsversion eller schema) går till den underliggande lagringen och kräver extra behörigheter.
  • Kommer den här åtgärden att köras i en Azure-prenumerationsberäkningsresurser eller resurser som finns i en Microsoft-prenumeration?
    • Alla anrop till datauppsättnings- och datalagertjänster (förutom Generate Profile alternativet) använder resurser som finns i en Microsoft-prenumeration för att köra åtgärderna.
    • Jobb, inklusive datamängdsalternativet Generate Profile , körs på en beräkningsresurs i din prenumeration och får åtkomst till data från den platsen. Beräkningsidentiteten behöver behörighet till lagringsresursen i stället för identiteten för den användare som skickade jobbet.

Det här diagrammet visar det allmänna flödet för ett dataåtkomstanrop. Här försöker en användare göra ett dataåtkomstanrop via en Machine Learning-arbetsyta utan att använda en beräkningsresurs.

Diagram som visar logikflödet vid åtkomst till data.

Scenarier och autentiseringsalternativ

Den här tabellen visar de identiteter som ska användas för specifika scenarier:

Konfiguration Virtuell SDK-dator för lokal/notebook-dator Projekt Förhandsversion av datauppsättning Bläddra i datalager
MSI för autentiseringsuppgifter + arbetsyta Merit Merit Arbetsytans hanterade tjänstidentitet (MSI) Autentiseringsuppgifter (endast kontonyckel och signaturtoken för delad åtkomst)
Inga autentiseringsuppgifter + arbetsyta MSI Beräkna MSI/användaridentitet Beräkna MSI/användaridentitet Arbetsytans hanterade tjänstidentitet (MSI) Användaridentitet
MsI för autentiseringsuppgifter + ingen arbetsyta Merit Merit Autentiseringsuppgifter (stöds inte för förhandsversion av datauppsättningar under privat nätverk) Autentiseringsuppgifter (endast kontonyckel och signaturtoken för delad åtkomst)
No Credential + No Workspace MSI Beräkna MSI/användaridentitet Beräkna MSI/användaridentitet Användaridentitet Användaridentitet

För SDK V1 använder dataautentisering i ett jobb alltid beräknings-MSI. För SDK V2 beror dataautentisering i ett jobb på din jobbinställning. Det kan vara användaridentitet eller beräknings-MSI, baserat på den jobbinställningen.

Dricks

För att komma åt data utanför Machine Learning – till exempel med Azure Storage Explorer – förlitar sig den åtkomsten förmodligen på användaridentiteten. Mer information finns i dokumentationen för det verktyg eller den tjänst som du planerar att använda. Mer information om hur Machine Learning fungerar med data finns i Konfigurera autentisering mellan Azure Machine Learning och andra tjänster.

Specifika krav för virtuellt nätverk

Den här informationen hjälper dig att konfigurera dataautentisering från en Machine Learning-arbetsyta för att komma åt data bakom ett virtuellt nätverk.

Lägga till behörigheter för ett lagringskonto till en hanterad identitet för Machine Learning-arbetsytan

När du använder ett lagringskonto från studion måste du aktivera Använd arbetsytehanterad identitet för dataförhandsgranskning och profilering i Azure Machine Learning-studio i datalagringsinställningen om du vill se förhandsversionen av datamängden. Lägg sedan till dessa Azure RBAC-roller för lagringskontot i arbetsytans hanterade identitet:

  • Blob-dataläsare
  • Om lagringskontot använder en privat slutpunkt för att ansluta till det virtuella nätverket måste du bevilja rollen Läsare för lagringskontots privata slutpunkt till den hanterade identiteten.

Mer information finns i Använda Azure Machine Learning-studio i ett virtuellt Azure-nätverk.

I de här avsnitten beskrivs begränsningarna med att använda ett lagringskonto, med din arbetsyta, i ett virtuellt nätverk.

Säker kommunikation med ett lagringskonto

För att skydda kommunikationen mellan Machine Learning- och lagringskonton konfigurerar du lagringen så att den ger åtkomst till betrodda Azure-tjänster.

Azure Storage-brandvägg

För ett lagringskonto som finns bakom ett virtuellt nätverk kan lagringsbrandväggen normalt tillåta att klienten ansluter direkt via Internet. Men när du använder studion ansluter klienten inte till lagringskontot. Machine Learning-tjänsten som gör begäran ansluter till lagringskontot. IP-adressen för tjänsten dokumenteras inte och ändras ofta. Att aktivera lagringsbrandväggen tillåter inte att studion får åtkomst till lagringskontot i en konfiguration av virtuellt nätverk.

Slutpunktstyp för Azure Storage

När arbetsytan använder en privat slutpunkt och lagringskontot också finns i det virtuella nätverket, uppstår extra valideringskrav när du använder studion.

  • Om lagringskontot använder en tjänstslutpunkt måste slutpunkten för arbetsytans privata slutpunkt och lagringstjänst finnas i samma undernät i det virtuella nätverket.
  • Om lagringskontot använder en privat slutpunkt måste den privata slutpunkten för arbetsytan och den privata lagringsslutpunkten finnas i samma virtuella nätverk. I det här fallet kan de finnas i olika undernät.

Azure Data Lake Storage Gen1

När du använder Azure Data Lake Storage Gen1 som ett datalager kan du bara använda åtkomstkontrollistor i POSIX-format. Du kan tilldela arbetsytans hanterade identitet åtkomst till resurser, som andra säkerhetsobjekt. Mer information finns i Åtkomstkontroll i Azure Data Lake Storage Gen1.

Azure Data Lake Storage Gen2

När du använder Azure Data Lake Storage Gen2 som ett datalager kan du använda åtkomstkontrollistor i både Azure RBAC- och POSIX-format för att styra dataåtkomsten i ett virtuellt nätverk.

Nästa steg

Information om hur du aktiverar studion i ett nätverk finns i Använda Azure Machine Learning-studio i ett virtuellt Azure-nätverk.