Delen via


Door de klant beheerde sleutels gebruiken voor versleuteling

Azure AI is gebouwd op meerdere Azure-services. Hoewel klantgegevens veilig worden opgeslagen met behulp van versleutelingssleutels die Microsoft standaard biedt, kunt u uw beveiliging verbeteren door uw eigen (door de klant beheerde) sleutels op te geven. De sleutels die u opgeeft, worden veilig opgeslagen in Azure Key Vault.

Vereisten

  • Een Azure-abonnement.
  • Een Azure Key Vault-exemplaar. De sleutelkluis bevat de sleutels die worden gebruikt om uw services te versleutelen.
    • Het sleutelkluisexemplaren moeten beveiliging tegen voorlopig verwijderen en opschonen inschakelen.
    • De beheerde identiteit voor de services die worden beveiligd door een door de klant beheerde sleutel, moet de volgende machtigingen hebben in de sleutelkluis:
      • terugloopsleutel
      • Sleutel uitpakken
      • Toevoegen

Wat zijn door de klant beheerde sleutels?

Standaard maakt en beheert Microsoft uw resources in een Azure-abonnement dat eigendom is van Microsoft en gebruikt een door Microsoft beheerde sleutel om de gegevens te versleutelen.

Wanneer u een door de klant beheerde sleutel gebruikt, bevinden deze resources zich in uw Azure-abonnement en worden deze versleuteld met uw eigen sleutel. Hoewel deze in uw abonnement aanwezig zijn, worden deze resources nog steeds beheerd door Microsoft. Ze worden automatisch gemaakt en geconfigureerd wanneer u uw Azure AI-resource maakt.

Deze door Microsoft beheerde resources bevinden zich in een nieuwe Azure-resourcegroep die in uw abonnement wordt gemaakt. Deze resourcegroep bestaat naast de resourcegroep voor uw project. Het bevat de door Microsoft beheerde resources waarmee uw sleutel wordt gebruikt. De resourcegroep heeft de naam met behulp van de formule van <Azure AI resource group name><GUID>. Het is niet mogelijk om de naamgeving van de resources in deze beheerde resourcegroep te wijzigen.

Tip

Als uw AI-resource gebruikmaakt van een privé-eindpunt, bevat deze resourcegroep ook een door Microsoft beheerd Virtueel Azure-netwerk. Dit VNet wordt gebruikt om de communicatie tussen de beheerde services en het project te beveiligen. U kunt uw eigen VNet niet opgeven voor gebruik met de door Microsoft beheerde resources. U kunt het virtuele netwerk ook niet wijzigen. U kunt bijvoorbeeld het IP-adresbereik dat wordt gebruikt, niet wijzigen.

Belangrijk

Als uw abonnement onvoldoende quotum voor deze services heeft, treedt er een fout op.

Belangrijk

Wanneer u een door de klant beheerde sleutel gebruikt, zijn de kosten voor uw abonnement hoger omdat deze resources zich in uw abonnement bevinden. Als u de kosten wilt schatten, gebruikt u de Azure-prijscalculator.

Waarschuwing

Verwijder de beheerde resourcegroep niet van de resources die automatisch in deze groep zijn gemaakt. Als u de resourcegroep of door Microsoft beheerde services wilt verwijderen, moet u de Azure AI-resources verwijderen die deze gebruiken. De resourcegroepresources worden verwijderd wanneer de bijbehorende AI-resource wordt verwijderd.

Door de klant beheerde sleutels inschakelen

Het proces voor het inschakelen van door de klant beheerde sleutels met Azure Key Vault voor Azure AI-services verschilt per product. Gebruik deze koppelingen voor servicespecifieke instructies:

Hoe rekengegevens worden opgeslagen

Azure AI maakt gebruik van resources voor rekeninstanties en serverloze berekeningen wanneer u modellen verfijnt of stromen bouwt. In de volgende tabel worden de rekenopties beschreven en wordt beschreven hoe gegevens door elke gegevens worden versleuteld:

Compute Versleuteling
Rekenproces Lokale scratchschijf is versleuteld.
Serverloze compute Besturingssysteemschijf versleuteld in Azure Storage met door Microsoft beheerde sleutels. Tijdelijke schijf is versleuteld.

Rekeninstantie De besturingssysteemschijf voor het rekenproces wordt versleuteld met door Microsoft beheerde sleutels in door Microsoft beheerde opslagaccounts. Als het project is gemaakt met de hbi_workspace parameter die is ingesteld TRUEop, wordt de lokale tijdelijke schijf op het rekenproces versleuteld met door Microsoft beheerde sleutels. Versleuteling van door de klant beheerde sleutels wordt niet ondersteund voor de besturingssysteem- en tijdelijke schijf.

Serverloze berekening De besturingssysteemschijf voor elk rekenknooppunt dat is opgeslagen in Azure Storage, wordt versleuteld met door Microsoft beheerde sleutels. Dit rekendoel is kortstondig en clusters worden meestal omlaag geschaald wanneer er geen taken in de wachtrij worden geplaatst. De onderliggende virtuele machine is niet ingericht en de besturingssysteemschijf wordt verwijderd. Azure Disk Encryption wordt niet ondersteund voor de besturingssysteemschijf.

Elke virtuele machine heeft ook een lokale tijdelijke schijf voor besturingssysteembewerkingen. Als u wilt, kunt u de schijf gebruiken om trainingsgegevens te fasen. Deze omgeving is kortlevend (alleen tijdens uw taak) en versleutelingsondersteuning is beperkt tot alleen door het systeem beheerde sleutels.

Beperkingen

  • Versleutelingssleutels worden niet doorgegeven vanuit de Azure AI-resource naar afhankelijke resources, waaronder Azure AI Services en Azure Storage wanneer deze zijn geconfigureerd op de Azure AI-resource. U moet versleuteling specifiek instellen voor elke resource.
  • De door de klant beheerde sleutel voor versleuteling kan alleen worden bijgewerkt naar sleutels in hetzelfde Azure Key Vault-exemplaar.
  • Na de implementatie kunt u niet overschakelen van door Microsoft beheerde sleutels naar door de klant beheerde sleutels of omgekeerd.
  • Resources die zijn gemaakt in de door Microsoft beheerde Azure-resourcegroep in uw abonnement, kunnen niet door u worden gewijzigd of door u worden verstrekt op het moment dat u deze maakt als bestaande resources.
  • U kunt door Microsoft beheerde resources die worden gebruikt voor door de klant beheerde sleutels niet verwijderen zonder uw project ook te verwijderen.