Clés gérées par le client pour le chiffrement avec Azure AI Studio

Les clés gérées par le client (CMK) dans Azure AI Studio fournissent un contrôle renforcé sur le chiffrement de vos données. L’utilisation des CMK vous permet de gérer vos propres clés de chiffrement pour ajouter une couche supplémentaire de protection et de répondre plus efficacement aux exigences de conformité.

À propos d’Azure AI Studio

Couches Azure AI Studio sur Azure Machine Learning et Azure AI services. Par défaut, ces services utilisent les clés de chiffrement gérées par Microsoft.

Les ressources de projet et de hub sont des implémentations de l’espace de travail Azure Machine Learning et chiffrent des données en transit et au repos. Pour plus d’informations, consultez l’article Chiffrement des données avec Azure Machine Learning.

Les données Azure AI services sont chiffrées et déchiffrées à l'aide du chiffrement AES 256 bits compatible FIPS 140-2. Le chiffrement et le déchiffrement sont transparents, ce qui signifie que le chiffrement et l’accès sont gérés automatiquement. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement.

Données de stockage dans votre abonnement lors de l’utilisation de clés gérées par le client

Les ressources de hub stockent les métadonnées dans votre abonnement Azure lors de l’utilisation de clés gérées par le client. Les données sont stockées dans un groupe de ressources managé par Microsoft qui inclut un compte Stockage Azure, une ressource Azure Cosmos DB et Recherche Azure AI.

Important

Quand vous utilisez une clé gérée par le client, les coûts de votre abonnement sont plus élevés, car les données chiffrées sont stockées dans votre abonnement. Pour estimer les coûts, utilisez la calculatrice de prix Azure.

La clé de chiffrement que vous fournissez lors de la création d’un hub est utilisée pour chiffrer les données stockées sur les ressources managées par Microsoft. Tous les projets utilisant le même hub stockent les données sur les ressources d’un groupe de ressources managé identifié par le nom azureml-rg-hubworkspacename_GUID. Les projets utilisent l’authentification Microsoft Entra ID lors de l’interaction avec ces ressources. Si votre hub est un point de terminaison de liaison privée, l’accès du réseau aux ressources managées est limité. Le groupe de ressources managé est supprimé quand le hub est supprimé.

Les données suivantes sont stockées sur les ressources managées.

Service	Champ d’utilisation	Exemple
Azure Cosmos DB	Stocke les métadonnées de vos projets et outils Azure AI	Noms d’index, balises, horodatages de création de flux, balises de déploiement, métriques d’évaluation
Recherche Azure AI	Stocke les index utilisés pour interroger votre contenu AI Studio.	Index basé sur les noms de déploiement de votre modèle
Compte Stockage Azure	Permet de stocker les instructions sur la façon dont les tâches de personnalisation sont orchestrées	Représentation JSON de flux que vous créez dans AI Studio

Important

Azure AI Studio utilise le calcul Azure qui est géré dans l’abonnement Microsoft, par exemple quand vous ajustez des modèles ou générez des flux. Ses disques sont chiffrés ave des clés gérées par Microsoft. Le calcul est éphémère, ce qui signifie qu’après la fin d’une tâche, l’approvisionnement de la machine virtuelle est annulé et le disque de système d’exploitation est supprimé. Les machines d’instance de calcul utilisées pour les expériences « Code » sont persistantes. Azure Disk Encryption n’est pas pris en charge pour le disque de système d’exploitation.

(Préversion) Stockage côté service des données chiffrées lors de l’utilisation de clés gérées par le client

Une nouvelle architecture de chiffrement de clés gérées par le client avec des hubs sont disponibles en préversion, ce qui résout la dépendance sur le groupe de ressources managé. Dans ce nouveau modèle, les données chiffrées sont stockées côté service sur des ressources managées par Microsoft plutôt que dans votre abonnement. Les métadonnées sont stockées dans des ressources multilocataire en utilisant le chiffrement CMK au niveau du document. Une instance Recherche Azure AI est hébergée sur le côté Microsoft par client et pour chaque hub. En raison de son modèle de ressource dédiée, son coût Azure est facturé dans votre abonnement via la ressource de hub.

Remarque

Pendant cette préversion, les fonctionnalités de rotation des clés et d’identité affectée par l’utilisateur ne sont pas prises en charge. Le chiffrement côté service n’est actuellement pas pris en charge en référence à un coffre Azure Key Vault pour le stockage de votre clé de chiffrement dont l’accès au réseau public est désactivé.

Utiliser des clés gérées par le client avec Azure Key Vault

Vous devez utiliser Azure Key Vault pour stocker vos clés managées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. La ressource Azure AI services et le coffre de clés doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.

Pour activer les clés gérées par le client, le coffre de clés contenant vos clés doit répondre à ces spécifications :

• Vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés.
• Si vous utilisez le pare-feu Key Vault, vous devez autoriser les services Microsoft approuvés à accéder au coffre de clés.
• Vous devez octroyer à l’identité managée affectée par le système de la ressource de votre ressource Azure AI Services et de votre hub les autorisations suivantes sur votre coffre de clés : get key, wrap key, unwrap key.

Les limitations suivantes s’appliquent à Azure AI Services :

• Seule la solution Azure Key Vault avec des stratégies d’accès héritées est prise en charge.
• Seules des clés RSA et RSA-HSM de taille 2048 sont prises en charge avec le chiffrement Azure AI services. Pour plus d’informations sur les clés, consultez Clés Key Vault dans À propos des clés, des secrets et des certificats Azure Key Vault.

Activer l’identité managée de votre ressource Azure AI Services

En cas de connexion avec Azure AI Services ou de variantes d’Azure AI Services, comme Azure OpenAI, vous devez activer une identité managée comme condition préalable pour utiliser des clés gérées par le client.

1. Accédez à votre ressource Azure AI services.
2. Sur la gauche, sous Gestion des ressources, sélectionnez Identité.
3. Faites basculer l’état de l’identité managée affectée par le système sur Activé.
4. Enregistrez vos modifications et confirmez votre volonté d’activer l’identité managée affectée par le système.

Activer des clés gérées par le client

Azure AI Studio s’appuie sur un hub comme implémentation d’un espace de travail Azure Machine Learning, d’Azure AI Services et vous permet de vous connecter à d’autres ressources dans Azure. Vous devez définir le chiffrement spécifiquement sur chaque ressource.

Le chiffrement de clé gérée par le client est configuré via le Portail Azure de façon similaire à chaque ressource Azure :

1. Créez une ressource dans le Portail Azure.
2. Sous l’onglet de chiffrement, sélectionnez votre clé de chiffrement.

Vous pouvez également utiliser des options infrastructure en tant que code pour l’automatisation. Un exemple des modèles Bicep pour Azure AI Studio est disponible sur le référentiel Démarrage rapide Azure :

1. Chiffrement CMK pour un hub.
2. Préversion de chiffrement CMK côté service pour un hub.

Limites

• La clé gérée par le client pour le chiffrement ne peut être mise à jour que sur des clés dans la même instance Azure Key Vault.
• Après le déploiement, les hubs ne peuvent pas basculer des clés gérées par Microsoft aux clés gérées par le client ou inversement.
• Un Formulaire de demande de clé gérée par le client Azure AI Services est requis pour utiliser des clés gérées par le client en combinaison avec les fonctionnalités Azure Speech Content Moderator.
• Au moment de la création, vous ne pouvez pas fournir ou modifier des ressources créées dans le groupe de ressources Azure managé par Microsoft dans votre abonnement.
• Vous ne pouvez pas supprimer les ressources managées par Microsoft utilisées pour les clés gérées par le client sans supprimer également votre hub.
• Le formulaire de demande de clé gérée par le client Azure AI Services est toujours requis pour Speech et Content Moderator.

Contenu connexe

• Qu’est-ce qu’Azure Key Vault ?