Freigeben über


Vom Kunden verwaltete Schlüssel für die Verschlüsselung

Azure KI wurde auf der Grundlage mehrerer Azure-Dienste erstellt. Kundendaten werden zwar standardmäßig mithilfe der von Microsoft verwendeten Verschlüsselungsschlüssel sicher gespeichert, Sie können jedoch die Sicherheit noch weiter erhöhen, indem Sie Ihre eigenen (kundenseitig verwalteten) Schlüssel bereitstellen. Die von Ihnen bereitgestellten Schlüssel werden sicher in Azure Key Vault gespeichert.

Voraussetzungen

  • Ein Azure-Abonnement.
  • Eine Azure Key Vault-Instanz. Der Schlüsseltresor enthält die Schlüssel, die zum Verschlüsseln Ihrer Dienste verwendet werden.
    • Die Key Vault-Instanz muss den Schutz vor vorläufigem und endgültigem Löschen aktivieren.
    • Die verwaltete Identität für die Dienste, die durch einen kundenseitig verwalteten Schlüssel gesichert sind, muss über die folgenden Berechtigungen in Key Vault verfügen:
      • Schlüssel packen
      • Schlüssel entpacken
      • get

Was sind kundenseitig verwaltete Schlüssel?

Standardmäßig erstellt und verwaltet Microsoft Ihre Ressourcen in einem Microsoft-eigenen Azure-Abonnement und verwendet einen von Microsoft verwalteten Schlüssel, um die Daten zu verschlüsseln.

Wenn Sie einen kundenseitig verwalteten Schlüssel verwenden, befinden sich diese Ressourcen in Ihrem Azure-Abonnement und werden mit Ihrem eigenen Schlüssel verschlüsselt. Diese Ressourcen befinden sich zwar in Ihrem Abonnement, sie werden aber trotzdem von Microsoft verwaltet. Sie werden automatisch erstellt und konfiguriert, wenn Sie Ihren Azure KI-Ressource erstellen.

Diese von Microsoft verwalteten Ressourcen befinden sich in einer neuen Azure-Ressourcengruppe, die in Ihrem Abonnement erstellt wird. Diese Ressourcengruppe ist zusätzlich zur Ressourcengruppe für Ihr Projekt vorhanden. Sie enthält die von Microsoft verwalteten Ressourcen, mit denen Ihr Schlüssel verwendet wird. Die Ressourcengruppe ist anhand der Formel <Azure AI resource group name><GUID> benannt. Es ist nicht möglich, die Namen der Ressourcen in dieser verwalteten Ressourcengruppe zu ändern.

Tipp

Wenn Ihre Azure KI-Ressource einen privaten Endpunkt verwendet, enthält diese Ressourcengruppe auch ein von Microsoft verwaltetes virtuelles Azure-Netzwerk. Dieses VNet wird verwendet, um die Kommunikation zwischen den verwalteten Diensten und dem Projekt zu sichern. Sie können kein eigenes VNet für die Verwendung mit den von Microsoft verwalteten Ressourcen bereitstellen. Außerdem können Sie das virtuelle Netzwerk nicht ändern. Beispielsweise können Sie den verwendeten IP-Adressbereich nicht ändern.

Wichtig

Wenn Ihr Abonnement nicht über ein ausreichendes Kontingent für diese Dienste verfügt, tritt ein Fehler auf.

Wichtig

Wenn Sie einen kundenseitig verwalteten Schlüssel verwenden, sind die Kosten für Ihr Abonnement aufgrund dieser Ressourcen in Ihrem Abonnement höher. Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.

Warnung

Löschen Sie weder die verwaltete Ressourcengruppe noch Ressourcen, die automatisch in dieser Gruppe erstellt wurden. Wenn Sie die Ressourcengruppe oder darin enthaltene von Microsoft verwaltete Dienste löschen müssen, müssen Sie die Azure KI-Ressourcen löschen, die sie verwenden. Die Ressourcengruppenressourcen werden gelöscht, wenn die zugehörige KI Ressource gelöscht wird.

Aktivieren von vom Kunden verwalteten Schlüsseln

Der Prozess zum Aktivieren von kundenseitig verwalteten Schlüsseln mit Azure Key Vault für Azure KI Services variiert je nach Produkt. Unter den folgenden Links finden Sie dienstspezifische Anweisungen:

Speichern von Computedaten

Azure KI verwendet Ressourcen für Compute-Instanz und serverloses Computing, wenn Sie Flows optimieren oder erstellen. In der folgenden Tabelle werden die Computeoptionen und die Art und Weise beschrieben, wie Daten jeweils verschlüsselt werden:

Compute Verschlüsselung
Compute-Instanz Der lokale Datenträger wird verschlüsselt.
Serverloses Computing Betriebssystemdatenträger, der in Azure Storage mit von Microsoft verwalteten Schlüsseln verschlüsselt ist. Der temporäre Datenträger wird verschlüsselt.

Compute-Instanz: Der Betriebssystemdatenträger für die Compute-Instanz wird mit von Microsoft verwalteten Schlüsseln in Microsoft-verwalteten Speicherkonten verschlüsselt. Wenn bei der Erstellung des Projekts der Parameter hbi_workspace auf TRUE festgelegt war, wird der lokale temporäre Datenträger auf der Compute-Instanz mit von Microsoft verwalteten Schlüsseln verschlüsselt. Die Verschlüsselung mit kundenseitig verwalteten Schlüsseln wird für Betriebssystem- und temporäre Datenträger nicht unterstützt.

Serverloses Computing Der Betriebssystem-Datenträger für jeden in Azure Storage gespeicherten Computeknoten wird mit von Microsoft verwalteten Schlüsseln verschlüsselt. Dieses Computeziel ist kurzlebig, und Cluster werden in der Regel zentral herunterskaliert, wenn keine Aufträge in der Warteschlange stehen. Die Bereitstellung des zugrunde liegenden virtuellen Computers wird aufgehoben, und der Betriebssystem-Datenträger wird gelöscht. Azure Disk Encryption wird für den Betriebssystem-Datenträger nicht unterstützt.

Jeder virtuelle Computer verfügt auch über einen lokalen temporären Datenträger für Betriebssystem-Vorgänge. Wenn Sie möchten, können Sie den Datenträger zum Bereitstellen von Trainingsdaten verwenden. Diese Umgebung ist kurzlebig (auf die Dauer Ihres Auftrags befristet), und die Unterstützung für die Verschlüsselung beschränkt sich auf systemseitig verwaltete Schlüssel.

Begrenzungen

  • Verschlüsselungsschlüssel werden nicht von der Azure KI-Ressource an abhängige Ressourcen wie Azure KI Services und Azure Storage weitergegeben, wenn sie auf der Azure KI-Ressource konfiguriert sind. Sie müssen die Verschlüsselung speziell für jede Ressource festlegen.
  • Der vom Kunden verwaltete Schlüssel für die Verschlüsselung kann nur auf Schlüssel in derselben Azure Key Vault-Instanz aktualisiert werden.
  • Nach der Bereitstellung können Sie nicht von Microsoft-verwalteten Schlüsseln zu Kunden-verwalteten Schlüsseln wechseln oder umgekehrt.
  • Ressourcen, die in der von Microsoft verwalteten Azure-Ressourcengruppe in Ihrem Abonnement erstellt werden, können von Ihnen nicht geändert oder zum Zeitpunkt der Erstellung als vorhandene Ressourcen bereitgestellt werden.
  • Sie können von Microsoft verwaltete Ressourcen, die für kundenseitig verwaltete Schlüssel verwendet werden, nicht löschen, ohne auch Ihr Projekt zu löschen.