Klíče spravované zákazníkem pro šifrování s využitím Azure AI Foundry

Klíče spravované zákazníkem (CMK) na portálu Azure AI Foundry poskytují vylepšenou kontrolu nad šifrováním vašich dat. Pomocí sad CMK můžete spravovat vlastní šifrovací klíče, abyste mohli efektivněji přidat další vrstvu ochrany a splnit požadavky na dodržování předpisů.

Šifrování na portálu Azure AI Foundry

Vrstvy Azure AI Foundry nad službami Azure Machine Learning a Azure AI Ve výchozím nastavení tyto služby používají šifrovací klíče spravované Microsoftem.

Prostředky centra a projektu jsou implementace pracovního prostoru Azure Machine Learning a šifrování přenášených a neaktivních uložených dat. Podrobnosti viz Šifrování dat pomocí služby Azure Machine Learning.

Data služeb Azure AI se šifrují a dešifrují pomocí 256bitového šifrování AES vyhovující standardu FIPS 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.

Úložiště dat ve vašem předplatném při použití klíčů spravovaných zákazníkem

Prostředky centra ukládají metadata ve vašem předplatném Azure při použití klíčů spravovaných zákazníkem. Data se ukládají ve skupině prostředků spravované Microsoftem, která zahrnuje účet Azure Storage, prostředek Služby Azure Cosmos DB a službu Azure AI Search.

Důležité

Při použití klíče spravovaného zákazníkem budou náklady na vaše předplatné vyšší, protože šifrovaná data jsou uložená ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.

Šifrovací klíč, který zadáte při vytváření centra, se používá k šifrování dat uložených na prostředcích spravovaných Microsoftem. Všechny projekty používající stejné centrum ukládají data o prostředcích ve spravované skupině prostředků identifikované názvem azureml-rg-hubworkspacename_GUID. Projekty používají ověřování Microsoft Entra ID při interakci s těmito prostředky. Pokud má vaše centrum koncový bod privátního propojení, síťový přístup ke spravovaným prostředkům je omezený. Spravovaná skupina prostředků se odstraní při odstranění centra.

Následující data jsou uložená ve spravovaných prostředcích.

Služba	K čemu slouží	Příklad
Azure Cosmos DB	Ukládá metadata pro projekty a nástroje Azure AI.	Názvy indexů, značky; Časové razítka vytváření toku; značky nasazení; metriky vyhodnocení
Azure AI Vyhledávač	Ukládá indexy, které slouží k dotazování obsahu Azure AI Foundry.	Index založený na názvech nasazení modelu
Účet služby Azure Storage	Ukládá pokyny pro orchestraci úloh přizpůsobení.	Reprezentace toků, které vytvoříte na portálu Azure AI Foundry

Důležité

Azure AI Foundry používá výpočetní prostředky Azure, které se spravují v předplatném Microsoftu, například při vyladění modelů nebo vytváření toků. Jeho disky jsou šifrované pomocí klíčů spravovaných Microsoftem. Výpočetní prostředky jsou dočasné, což znamená, že po dokončení úlohy se virtuální počítač zruší a disk s operačním systémem se odstraní. Počítače výpočetních instancí používané pro prostředí Kódu jsou trvalé. Azure Disk Encryption není pro disk s operačním systémem podporovaný.

(Preview) Úložiště šifrovaných dat na straně služby při použití klíčů spravovaných zákazníkem

Ve verzi Preview je k dispozici nová architektura šifrování klíčů spravovaných zákazníkem se službou Hubs, která řeší závislost na spravované skupině prostředků. V tomto novém modelu se šifrovaná data ukládají na straně služby na prostředcích spravovaných Microsoftem místo ve spravovaných prostředcích ve vašem předplatném. Metadata se ukládají ve víceklientských prostředcích pomocí šifrování CMK na úrovni dokumentu. Instance Azure AI Search je hostovaná na straně Microsoftu pro každého zákazníka a pro každé centrum. Vzhledem k jeho vyhrazenému modelu prostředků se náklady na Azure účtují ve vašem předplatném prostřednictvím prostředku centra.

Poznámka:

• Během této obměně klíčů ve verzi Preview a funkcí identit přiřazených uživatelem se nepodporují. Šifrování na straně služby se v současné době nepodporuje v odkazu na službu Azure Key Vault pro ukládání šifrovacího klíče, který má zakázaný přístup k veřejné síti.
• Pokud používáte úložiště na straně serveru ve verzi Preview, poplatky za Azure se budou dál účtovat během doby uchovávání obnovitelného odstranění.

Použití klíčů spravovaných zákazníkem se službou Azure Key Vault

K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Prostředek služeb Azure AI a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Aby bylo možné povolit klíče spravované zákazníkem, musí trezor klíčů obsahující vaše klíče splňovat tyto požadavky:

• U trezoru klíčů musíte povolit vlastnosti obnovitelného odstranění i nevyprázdnit .
• Pokud používáte bránu firewall služby Key Vault, musíte povolit důvěryhodným služby Microsoft přístup k trezoru klíčů.
• Spravovanou identitu přiřazenou systémem přiřazenou službou Azure AI Services musíte centru udělit následující oprávnění k vašemu trezoru klíčů: získání klíče, zabalení klíče, rozbalení klíče.

Pro služby Azure AI Services platí následující omezení:

• Podporují se jenom služby Azure Key Vault se staršími zásadami přístupu.
• Šifrování služeb Azure AI podporuje pouze klíče RSA a RSA-HSM velikosti 2048. Další informace o klíčích najdete v tématu Klíče služby Key Vault v tématu O klíčích, tajných klíčích a certifikátech služby Azure Key Vault.

Povolení spravované identity prostředku Azure AI Services

Pokud se připojujete se službami Azure AI Services nebo variantami služeb Azure AI, jako je Azure OpenAI, musíte spravovanou identitu povolit jako předpoklad pro používání klíčů spravovaných zákazníkem.

1. Přejděte k prostředku služeb Azure AI.
2. Na levé straně v části Správa prostředků vyberte Identita.
3. Přepněte stav spravované identity přiřazené systémem na Zapnuto.
4. Uložte změny a potvrďte, že chcete povolit spravovanou identitu přiřazenou systémem.

Povolení klíčů spravovaných zákazníkem

Azure AI Foundry vychází z centra jako implementace pracovního prostoru Azure Machine Learning, služeb Azure AI a umožňuje připojení k dalším prostředkům v Azure. Pro každý prostředek musíte nastavit šifrování speciálně.

Šifrování klíče spravovaného zákazníkem se konfiguruje prostřednictvím webu Azure Portal podobným způsobem pro každý prostředek Azure:

1. Vytvořte nový prostředek Azure na webu Azure Portal.
2. Na kartě šifrování vyberte šifrovací klíč.

Alternativně můžete použít možnosti infrastruktury jako kódu pro automatizaci. Ukázkové šablony Bicep pro Azure AI Foundry jsou k dispozici v úložišti Rychlého startu Azure:

1. Šifrování CMK pro centrum.
2. Šifrování CMK na straně služby ve verzi Preview pro centrum.

Omezení

• Klíč spravovaný zákazníkem pro šifrování je možné aktualizovat pouze na klíče ve stejné instanci služby Azure Key Vault.
• Po nasazení se centra nemůžou přepnout z klíčů spravovaných Microsoftem na klíče spravované zákazníkem nebo naopak.
• K používání klíčů spravovaných zákazníkem v kombinaci s funkcemi Azure Speech a Content Moderatoru se vyžaduje formulář žádosti o klíč spravovaný zákazníkem služby Azure AI.
• V době vytváření nemůžete ve vašem předplatném poskytovat ani upravovat prostředky vytvořené ve skupině prostředků Azure spravované Microsoftem.
• Nemůžete odstranit prostředky spravované Microsoftem používané pro klíče spravované zákazníkem bez odstranění centra.
• Formulář žádosti o klíč spravovaný zákazníkem spravované službou Azure AI se stále vyžaduje pro Speech a Content Moderator.
• Pokud používáte verzi Preview na straně serveru, poplatky za Azure se budou dál účtovat během doby uchovávání obnovitelného odstranění.

Související obsah

• Co je Azure Key Vault?