Door de klant beheerde sleutels voor versleuteling met Azure AI Foundry

Door de klant beheerde sleutels (CMK's) in de Azure AI Foundry-portal bieden verbeterde controle over de versleuteling van uw gegevens. Met CMK's kunt u uw eigen versleutelingssleutels beheren om een extra beveiligingslaag toe te voegen en effectiever te voldoen aan nalevingsvereisten.

Over versleuteling in de Azure AI Foundry-portal

Azure AI Foundry-lagen boven op Azure Machine Learning- en Azure AI-services. Deze services maken standaard gebruik van door Microsoft beheerde versleutelingssleutels.

Hub- en projectbronnen zijn implementaties van de Azure Machine Learning-werkruimte en versleutelen gegevens in transit en at rest. Zie Gegevensversleuteling met Azure Machine Learning voor meer informatie.

Gegevens van Azure AI-services worden versleuteld en ontsleuteld met FIPS 140-2-compatibele256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.

Gegevensopslag in uw abonnement bij gebruik van door de klant beheerde sleutels

Hub-resources slaan metagegevens op in uw Azure-abonnement wanneer u door de klant beheerde sleutels gebruikt. Gegevens worden opgeslagen in een door Microsoft beheerde resourcegroep met een Azure Storage-account, Azure Cosmos DB-resource en Azure AI Search.

Belangrijk

Wanneer u een door de klant beheerde sleutel gebruikt, zijn de kosten voor uw abonnement hoger omdat versleutelde gegevens worden opgeslagen in uw abonnement. Als u de kosten wilt schatten, gebruikt u de Azure-prijscalculator.

De versleutelingssleutel die u opgeeft bij het maken van een hub wordt gebruikt voor het versleutelen van gegevens die zijn opgeslagen op door Microsoft beheerde resources. Alle projecten die gebruikmaken van dezelfde hub slaan gegevens op op de resources in een beheerde resourcegroep die wordt geïdentificeerd door de naam azureml-rg-hubworkspacename_GUID. Projecten gebruiken Microsoft Entra ID-verificatie bij interactie met deze resources. Als uw hub een privékoppelingseindpunt heeft, is netwerktoegang tot de beheerde resources beperkt. De beheerde resourcegroep wordt verwijderd wanneer de hub wordt verwijderd.

De volgende gegevens worden opgeslagen op de beheerde resources.

Service	Waar het voor wordt gebruikt	Opmerking
Azure Cosmos DB	Slaat metagegevens op voor uw Azure AI-projecten en -hulpprogramma's	Indexnamen, tags; Tijdstempels voor het maken van stromen; implementatietags; metrische evaluatiegegevens
Azure AI Search	Slaat indexen op die worden gebruikt om query's uit te voeren op uw Azure AI Foundry-inhoud.	Een index op basis van uw modelimplementatienamen
Azure-opslagaccount	Hierin worden instructies opgeslagen voor het organiseren van aanpassingstaken	JSON-weergave van stromen die u maakt in de Azure AI Foundry-portal

Belangrijk

Azure AI Foundry maakt gebruik van Azure Compute die wordt beheerd in het Microsoft-abonnement, bijvoorbeeld wanneer u modellen verfijnt of stromen bouwt. De schijven worden versleuteld met door Microsoft beheerde sleutels. Compute is kortstondig, wat betekent dat nadat een taak is voltooid, de inrichting van de virtuele machine ongedaan is gemaakt en de besturingssysteemschijf wordt verwijderd. Rekeninstantiemachines die worden gebruikt voor 'Code'-ervaringen, blijven behouden. Azure Disk Encryption wordt niet ondersteund voor de besturingssysteemschijf.

(Preview) Opslag aan de servicezijde van versleutelde gegevens bij gebruik van door de klant beheerde sleutels

Een nieuwe architectuur voor door de klant beheerde sleutelversleuteling met hubs is beschikbaar in preview, waarmee de afhankelijkheid van de beheerde resourcegroep wordt opgelost. In dit nieuwe model worden versleutelde gegevens opgeslagen aan de servicezijde van door Microsoft beheerde resources in plaats van in beheerde resources in uw abonnement. Metagegevens worden opgeslagen in multitenant-resources met CMK-versleuteling op documentniveau. Een Azure AI Search-exemplaar wordt gehost aan de Microsoft-zijde per klant en voor elke hub. Vanwege het toegewezen resourcemodel worden de Azure-kosten in rekening gebracht in uw abonnement via de hubresource.

Notitie

• Tijdens deze preview-sleutelrotatie en door de gebruiker toegewezen identiteitsmogelijkheden worden niet ondersteund. Versleuteling aan de servicezijde wordt momenteel niet ondersteund in verwijzing naar een Azure Key Vault voor het opslaan van uw versleutelingssleutel waarvoor openbare netwerktoegang is uitgeschakeld.
• Als u de preview-opslag aan de serverzijde gebruikt, blijven azure-kosten toenemen tijdens de bewaarperiode voor voorlopig verwijderen.

Door de klant beheerde sleutels gebruiken met Azure Key Vault

U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Azure AI-servicesresource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Als u door de klant beheerde sleutels wilt inschakelen, moet de sleutelkluis met uw sleutels voldoen aan deze vereisten:

• U moet zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis.
• Als u de Key Vault-firewall gebruikt, moet u vertrouwde Microsoft-services toegang geven tot de sleutelkluis.
• U moet de door het systeem toegewezen beheerde identiteit van uw hub en De door het systeem toegewezen beheerde identiteit van uw hub de volgende machtigingen verlenen voor uw sleutelkluis: sleutel ophalen, sleutel verpakken, sleutel uitpakken.

De volgende beperkingen gelden voor Azure AI Services:

• Alleen Azure Key Vault met verouderd toegangsbeleid wordt ondersteund.
• Alleen RSA- en RSA-HSM-sleutels van grootte 2048 worden ondersteund met Azure AI-servicesversleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, -geheimen en -certificaten voor meer informatie over sleutels.

De beheerde identiteit van uw Azure AI Services-resource inschakelen

Als u verbinding maakt met Azure AI Services of varianten van Azure AI Services, zoals Azure OpenAI, moet u beheerde identiteit inschakelen als een vereiste voor het gebruik van door de klant beheerde sleutels.

1. Ga naar uw Azure AI-servicesresource.
2. Selecteer Identiteit aan de linkerkant onder Resourcebeheer.
3. Schakel de door het systeem toegewezen beheerde identiteit over naar Aan.
4. Sla uw wijzigingen op en bevestig dat u de door het systeem toegewezen beheerde identiteit wilt inschakelen.

Door de klant beheerde sleutels inschakelen

Azure AI Foundry bouwt voort op hub als implementatie van Azure Machine Learning-werkruimte, Azure AI Services en laat u verbinding maken met andere resources in Azure. U moet versleuteling specifiek instellen voor elke resource.

Door de klant beheerde sleutelversleuteling wordt geconfigureerd via Azure Portal op een vergelijkbare manier voor elke Azure-resource:

1. Maak een nieuwe Azure-resource in Azure Portal.
2. Selecteer uw versleutelingssleutel op het tabblad Versleuteling.

U kunt ook opties voor infrastructuur als code gebruiken voor automatisering. Voorbeelden van Bicep-sjablonen voor Azure AI Foundry zijn beschikbaar in de Azure Quickstart-opslagplaats:

1. CMK-versleuteling voor hub.
2. CMK-versleutelingsvoorbeeld aan de servicezijde voor hub.

Beperkingen

• De door de klant beheerde sleutel voor versleuteling kan alleen worden bijgewerkt naar sleutels in hetzelfde Azure Key Vault-exemplaar.
• Na de implementatie kunnen hubs niet overschakelen van door Microsoft beheerde sleutels naar door de klant beheerde sleutels of omgekeerd.
• Het aanvraagformulier voor door de klant beheerde sleutels van Azure AI-services is vereist voor het gebruik van door de klant beheerde sleutels in combinatie met de mogelijkheden van Azure Speech en Content Moderator.
• Op het moment van het maken kunt u geen resources opgeven of wijzigen die zijn gemaakt in de door Microsoft beheerde Azure-resourcegroep in uw abonnement.
• U kunt door Microsoft beheerde resources die worden gebruikt voor door de klant beheerde sleutels niet verwijderen zonder ook uw hub te verwijderen.
• Aanvraagformulier voor door de klant beheerde sleutel van Azure AI-services is nog steeds vereist voor Speech en Content Moderator.
• Als u de preview-versie aan de serverzijde gebruikt, blijven azure-kosten toenemen tijdens de bewaarperiode voor voorlopig verwijderen.

Gerelateerde inhoud

• Wat is Azure Key Vault?