3

我正在使用 Azure 机器学习服务和管道功能来准备、训练和测试我的机器学习模型。但是,在我的数据准备步骤中,我需要连接到数据库,并且我想找到一种方法来传递我的秘密密码或密钥,而无需将它们以纯文本形式写入我的脚本文件中。

在本地,我使用环境变量来使用秘密密码和密钥,但据我所知,这在管道基础设施中是不可能的,因为 Conda 不支持传递环境变量。如果有人可以确认或否认这一点,那将很有帮助。

在 Azure 门户的 Azure 机器学习服务中,我找到了一个“密钥库”资源,它是在我创建“机器学习服务工作区”资源时自动创建的。这似乎正是我所需要的。是吗?如果是这样,我该如何使用它?

如果以上都不能解决我的问题,有没有其他方法可以安全地在我的脚本中使用秘密密码和密钥,而不用在脚本中以纯文本形式编写它们?

编辑:我意识到我的问题非常关注数据库连接。但是,问题实际上是关于任何类型的秘密或密码,而不仅仅是数据库凭据。正如答案中所指出的,这里可能值得一提的是,Azure SQL 数据库连接可以(并且应该)使用DataTransferStep来解决。

4

3 回答 3

4

您可以通过arguments参数传递凭据,而不是使用环境变量:

pipeline_step = PythonScriptStep(
    script_name='train.py',
    arguments=['--keyvault_name', 'MyKV', '--secret_name', 'MyPW'], ...

并定义脚本参数train.py如下:

parser = argparse.ArgumentParser('train')
parser.add_argument('--keyvault_name')
parser.add_argument('--secret_name')
args = parser.parse_args()

然后,您可以在脚本中使用变量args.keyvault_nameargs.secret_name。您可以使用这些值从 Key Vault 读取密码。当然,您必须首先创建 Key Vault 并将密码存储在那里。此外,您还必须确保 AML Workspace 有权从 Key Vault 读取机密。

当然,您也可以在脚本参数中以纯文本形式传递密码,但这并不可取。

于 2019-05-20T07:51:49.630 回答
1

你使用什么样的数据库?如果是 Azure SQL,则可以使用 DataTransferStep 而不是传递机密。相关类是:

数据传输步骤

数据参考

AzureSqlDataBaseDataStore

于 2019-01-10T17:42:14.833 回答
1

从 Azure ML SDK 版本 1.0.57 开始,现在支持通过 azureml.core.keyvault.KeyVault 对象将机密传递给远程运行:

请参阅此笔记本中的在远程运行中使用机密部分

于 2019-08-20T13:43:18.100 回答