次の方法で共有

Azure AI Studio での暗号化用のカスタマー マネージド キー

  • [アーティクル]

Azure AI Studio においてカスタマー マネージド キー (CMK) を使用すると、データ暗号化の制御が強化されます。 CMK を使用すると、独自の暗号化キーを管理して保護レイヤーを追加し、コンプライアンス要件をより効果的に満たすことができます。

Azure AI Studio での暗号化について

Azure AI Studio は、Azure Machine Learning と Azure AI サービスの上にレイヤー化されています。 既定で、これらのサービスでは Microsoft マネージド暗号化キーが使用されます。

ハブおよびプロジェクトのリソースは Azure Machine Learning ワークスペースの実装であり、転送中および保存されたデータを暗号化します。 詳細については、「Azure Machine Learning でのデータの暗号化」を参照してください。

Azure AI サービス データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。 データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。

カスタマー マネージド キーを使用する場合のサブスクリプション内のデータ ストレージ

カスタマー マネージド キーを使用する場合、ハブ リソースは Azure サブスクリプション内にメタデータを格納します。 データは、Azure Storage アカウント、Azure Cosmos DB リソース、Azure AI 検索を含む、Microsoft マネージド リソース グループ内に格納されます。

重要

カスタマー マネージド キーを使用する場合、サブスクリプション内に暗号化されたデータが格納されるため、そのサブスクリプションのコストは高くなります。 コストを見積もるには、Azure 料金計算ツールを使用してください。

ハブの作成時に指定する暗号化キーは、Microsoft マネージド リソース上に格納されるデータを暗号化するために使用されます。 同じハブを使用するすべてのプロジェクトは、azureml-rg-hubworkspacename_GUID という名前で識別されるマネージド リソース グループ内のリソース上にデータを格納します。 プロジェクトでは、これらのリソースを操作する際に Microsoft Entra ID 認証が使用されます。 ハブにプライベート リンク エンドポイントがある場合、マネージド リソースへのネットワーク アクセスは制限されます。 ハブが削除されると、マネージド リソース グループは削除されます。

次のデータは、マネージド リソース上に格納されます。

サービス これは何に使用されますか ?
Azure Cosmos DB Azure AI プロジェクトとツールのメタデータを格納する インデックス名、タグ、フロー作成タイムスタンプ、デプロイ タグ、評価メトリック
Azure AI Search AI Studio コンテンツのクエリに使用されるインデックスを格納します。 モデル デプロイ名に基づくインデックス
Azure Storage アカウント カスタマイズ タスクの調整方法に関する手順を格納します AI Studio 内で作成するフローの JSON 表現

重要

Azure AI Studio では、Microsoft サブスクリプション内で管理されている Azure コンピューティングが使用されます (モデルのファイン チューニングまたはフローの構築の際など)。 そのディスクは、Microsoft マネージド キーで暗号化されます。 コンピューティングは一時的なものであり、タスクが完了すると仮想マシンはプロビジョニング解除され、OS ディスクは削除されます。 'コードを書く' エクスペリエンスに使用されるコンピューティング インスタンス マシンは永続的です。 OS ディスクでは Azure Disk Encryption はサポートされません。

(プレビュー) カスタマー マネージド キーを使用する場合の暗号化されたデータのサービス側ストレージ

ハブを使用したカスタマー マネージド キー暗号化の新しいアーキテクチャがプレビューで使用可能になりました。これにより、マネージド リソース グループへの依存関係が解決されます。 この新しいモデルにおいて、暗号化されたデータは、サブスクリプション内のマネージド リソース内ではなく、Microsoft マネージド リソース上のサービス側に保存されます。 メタデータは、ドキュメント レベルの CMK 暗号化を使用して、マルチテナント リソース内に格納されます。 Azure AI 検索インスタンスは、顧客ごと、およびハブごとに、Microsoft 側でホストされます。 その専用リソース モデルにより、その Azure のコストは、ハブ リソースを介したサブスクリプション内で課金されます。

Note

このプレビュー中、キーのローテーションとユーザー割り当て ID 機能はサポートされていません。 現在、パブリック ネットワーク アクセスが無効になっている、暗号化キーを保存するための Azure Key Vault に関して、サーバー側の暗号化はサポートされていません。

Azure Key Vault でカスタマー マネージド キーを使用する

カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。 Azure AI サービスのリソースとキー コンテナーは、同じリージョンの同じ Microsoft Entra テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。 Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。

カスタマー マネージド キーを有効にするには、キーを含むキー コンテナーが次の要件を満たしている必要があります。

  • Key Vault で [論理的な削除][Do Not Purge](消去しない) の両方のプロパティを有効にする必要があります。
  • Key Vault ファイアウォールを使用する場合は、信頼された Microsoft サービスがキー コンテナーにアクセスできるようにする必要があります。
  • ハブおよび Azure AI サービス リソースのシステム割り当てマネージド ID に、キー コンテナーに対する次のアクセス許可を許可する必要があります。"キーの取得"、"キーのラップ"、"キーのラップ解除" です。

Azure AI サービスには、次の制限事項が適用されます。

Azure AI サービス リソースのマネージド ID を有効にする

Azure AI サービスまたは Azure AI サービスのバリアント (Azure OpenAI など) に接続する場合は、カスタマー マネージド キーを使用するための前提条件として、マネージド ID を有効にする必要があります。

  1. Azure AI サービス リソースに移動します。
  2. 左側の [リソース管理] で、[ID] を選びます。
  3. システム割り当てマネージド ID の状態を [オン] に切り替えます。
  4. 変更を保存し、システム割り当てマネージド ID を有効にすることを確認します。

カスタマー マネージド キーを有効にする

Azure AI Studio は、Azure Machine Learning ワークスペース、Azure AI サービスの実装としてハブ上に構築されており、Azure 内の他のリソースに接続できます。 暗号化は、各リソースで明確に設定する必要があります。

カスタマー マネージド キー暗号化は、各 Azure リソースと同様の方法で、Azure portal を使用して構成します。

  1. Azure portal 内で新しい Azure リソースを作成します。
  2. [暗号化] タブの下で、暗号化キーを選択します。

サーバー側暗号化のオプションが選択されている状態の暗号化タブのスクリーンショット。

または、自動化を目的として、コードとしてのインフラストラクチャのオプションを使用します。 Azure AI Studio 用の Bicep テンプレートの例は、Azure クイック スタート リポジトリ上で入手できます。

  1. ハブの CMK 暗号化
  2. ハブのサービス側 CMK 暗号化プレビュー

制限事項

  • 暗号化用のカスタマー マネージド キーは、同じ Azure Key Vault インスタンス内のキーにのみ更新できます。
  • デプロイ後、ハブでは Microsoft マネージド キーからカスタマー マネージド キー (またはその逆) に切り替えることはできません。
  • カスタマー マネージド キーを Azure Speech および Content Moderator の機能と組み合わせて使用するには、Azure AI サービスのカスタマー マネージド キー要求フォームが必要です。
  • 作成時に、サブスクリプション内の Microsoft マネージド Azure リソース グループ内に作成されたリソースを指定または変更することはできません。
  • ハブも削除しなければ、カスタマー マネージド キーに使用される Microsoft マネージド リソースを削除することはできません。
  • Speech と Content Moderator には、Azure AI サービスのカスタマー マネージド キー要求フォームが引き続き必要になります。

関連するコンテンツ