Udostępnij za pośrednictwem

Klucze zarządzane przez klienta na potrzeby szyfrowania za pomocą rozwiązania Azure AI Foundry

  • Artykuł

Klucze zarządzane przez klienta (CMKs) w portalu usługi Azure AI Foundry zapewniają rozszerzoną kontrolę nad szyfrowaniem danych. Korzystając z kluczy cmKs, możesz zarządzać własnymi kluczami szyfrowania, aby bardziej efektywnie dodać dodatkową warstwę ochrony i spełnić wymagania dotyczące zgodności.

Informacje o szyfrowaniu w portalu usługi Azure AI Foundry

Warstwy usługi Azure AI Foundry na podstawie usług Azure Machine Learning i Azure AI. Domyślnie te usługi używają kluczy szyfrowania zarządzanych przez firmę Microsoft.

Zasoby centrum i projektu to implementacje obszaru roboczego usługi Azure Machine Learning i szyfrowanie danych przesyłanych i magazynowanych. Aby uzyskać szczegółowe informacje, zobacz Szyfrowanie danych za pomocą usługi Azure Machine Learning.

Dane usług Azure AI są szyfrowane i odszyfrowywane przy użyciu szyfrowania AES zgodnego ze standardem FIPS 140-2. Szyfrowanie i odszyfrowywanie są przezroczyste, co oznacza, że szyfrowanie i dostęp są zarządzane. Dane są domyślnie bezpieczne i nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania.

Magazyn danych w subskrypcji podczas korzystania z kluczy zarządzanych przez klienta

Zasoby centrum przechowują metadane w subskrypcji platformy Azure podczas korzystania z kluczy zarządzanych przez klienta. Dane są przechowywane w zarządzanej przez firmę Microsoft grupie zasobów, która obejmuje konto usługi Azure Storage, zasób usługi Azure Cosmos DB i usługę Azure AI Search.

Ważne

W przypadku korzystania z klucza zarządzanego przez klienta koszty subskrypcji będą wyższe, ponieważ zaszyfrowane dane są przechowywane w ramach subskrypcji. Aby oszacować koszt, użyj kalkulatora cen platformy Azure.

Klucz szyfrowania, który podajesz podczas tworzenia centrum, służy do szyfrowania danych przechowywanych w zasobach zarządzanych przez firmę Microsoft. Wszystkie projekty korzystające z tego samego centrum przechowują dane w zasobach w zarządzanej grupie zasobów zidentyfikowanej przez nazwę azureml-rg-hubworkspacename_GUID. Projekty korzystają z uwierzytelniania identyfikatora Entra firmy Microsoft podczas interakcji z tymi zasobami. Jeśli centrum ma punkt końcowy łącza prywatnego, dostęp sieciowy do zarządzanych zasobów jest ograniczony. Zarządzana grupa zasobów zostanie usunięta po usunięciu centrum.

Następujące dane są przechowywane w zasobach zarządzanych.

Usługa Zastosowanie Przykład
Azure Cosmos DB Przechowuje metadane dla projektów i narzędzi sztucznej inteligencji platformy Azure Nazwy indeksów, tagi; Znaczniki czasu tworzenia przepływu; tagi wdrożenia; Metryki oceny
Wyszukiwanie AI platformy Azure Przechowuje indeksy używane do wykonywania zapytań dotyczących zawartości usługi Azure AI Foundry. Indeks oparty na nazwach wdrożeń modelu
Konto magazynu platformy Azure Przechowuje instrukcje dotyczące organizowania zadań dostosowywania Reprezentacja przepływów tworzonych w formacie JSON w portalu usługi Azure AI Foundry

Ważne

Usługa Azure AI Foundry korzysta z zasobów obliczeniowych platformy Azure zarządzanych w ramach subskrypcji firmy Microsoft, na przykład podczas dostosowywania modeli lub tworzenia przepływów. Jego dyski są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Obliczenia są efemeryczne, co oznacza, że po zakończeniu zadania maszyna wirtualna zostanie anulowana, a dysk systemu operacyjnego zostanie usunięty. Maszyny wystąpień obliczeniowych używane w środowiskach "Code" są trwałe. Usługa Azure Disk Encryption nie jest obsługiwana dla dysku systemu operacyjnego.

(Wersja zapoznawcza) Magazyn zaszyfrowanych danych po stronie usługi podczas korzystania z kluczy zarządzanych przez klienta

Nowa architektura szyfrowania kluczy zarządzanych przez klienta z koncentratorami jest dostępna w wersji zapoznawczej, która rozwiązuje zależność od zarządzanej grupy zasobów. W tym nowym modelu zaszyfrowane dane są przechowywane po stronie usługi w zasobach zarządzanych przez firmę Microsoft zamiast w zasobach zarządzanych w ramach subskrypcji. Metadane są przechowywane w zasobach wielodostępnych przy użyciu szyfrowania CMK na poziomie dokumentu. Wystąpienie usługi Azure AI Search jest hostowane po stronie firmy Microsoft dla każdego klienta i dla każdego centrum. Ze względu na dedykowany model zasobów koszt platformy Azure jest naliczany w ramach subskrypcji za pośrednictwem zasobu centrum.

Uwaga

  • Podczas tej rotacji kluczy w wersji zapoznawczej i możliwości tożsamości przypisanej przez użytkownika nie są obsługiwane. Szyfrowanie po stronie usługi nie jest obecnie obsługiwane w odniesieniu do usługi Azure Key Vault do przechowywania klucza szyfrowania, który ma wyłączony dostęp do sieci publicznej.
  • Jeśli używasz magazynu po stronie serwera w wersji zapoznawczej, opłaty za korzystanie z platformy Azure będą nadal naliczane w okresie przechowywania usuwania nietrwałego.

Używanie kluczy zarządzanych przez klienta z usługą Azure Key Vault

Aby przechowywać klucze zarządzane przez klienta, należy użyć usługi Azure Key Vault. Możesz utworzyć własne klucze i przechowywać je w magazynie kluczy lub użyć interfejsów API usługi Azure Key Vault do generowania kluczy. Zasób usług azure AI i magazyn kluczy muszą znajdować się w tym samym regionie i w tej samej dzierżawie firmy Microsoft Entra, ale mogą znajdować się w różnych subskrypcjach. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault?.

Aby włączyć klucze zarządzane przez klienta, magazyn kluczy zawierający klucze musi spełniać następujące wymagania:

  • Należy włączyć zarówno właściwości Usuwanie nietrwałe, jak i Nie przeczyszczać w magazynie kluczy.
  • Jeśli używasz zapory usługi Key Vault, musisz zezwolić zaufanym usługi firmy Microsoft na dostęp do magazynu kluczy.
  • Musisz przyznać tożsamości zarządzanej przypisanej przez system zasobu centrum i usługi Azure AI Services następujące uprawnienia do magazynu kluczy: pobierz klucz, zawijaj klucz, odpakuj klucz.

Następujące ograniczenia dotyczą usług Azure AI Services:

  • Obsługiwane są tylko usługi Azure Key Vault ze starszymi zasadami dostępu.
  • Tylko klucze RSA i RSA-HSM o rozmiarze 2048 są obsługiwane z szyfrowaniem usług Azure AI. Aby uzyskać więcej informacji na temat kluczy, zobacz Klucze usługi Key Vault w temacie Informacje o kluczach, wpisach tajnych i certyfikatach usługi Azure Key Vault.

Włączanie tożsamości zarządzanej zasobu usługi Azure AI Services

W przypadku nawiązywania połączenia z usługami Azure AI Lub wariantów usług Azure AI Services, takich jak Azure OpenAI, należy włączyć tożsamość zarządzaną jako wymaganie wstępne dotyczące używania kluczy zarządzanych przez klienta.

  1. Przejdź do zasobu usług Azure AI.
  2. Po lewej stronie w obszarze Zarządzanie zasobami wybierz pozycję Tożsamość.
  3. Przełącz stan tożsamości zarządzanej przypisanej przez system na .
  4. Zapisz zmiany i potwierdź, że chcesz włączyć tożsamość zarządzaną przypisaną przez system.

Włączanie kluczy zarządzanych przez klienta

Usługa Azure AI Foundry jest oparta na centrum jako implementacja obszaru roboczego usługi Azure Machine Learning, usług Azure AI Services i umożliwia łączenie się z innymi zasobami na platformie Azure. Należy ustawić szyfrowanie specjalnie dla każdego zasobu.

Szyfrowanie kluczy zarządzanych przez klienta jest konfigurowane za pośrednictwem witryny Azure Portal w podobny sposób dla każdego zasobu platformy Azure:

  1. Utwórz nowy zasób platformy Azure w witrynie Azure Portal.
  2. Na karcie Szyfrowanie wybierz klucz szyfrowania.

Zrzut ekranu przedstawiający kartę szyfrowania z wybraną opcją szyfrowania po stronie usługi.

Alternatywnie użyj opcji infrastruktury jako kodu do automatyzacji. Przykładowe szablony Bicep dla usługi Azure AI Foundry są dostępne w repozytorium Szybki start platformy Azure:

  1. Szyfrowanie cmK dla koncentratora.
  2. Wersja zapoznawcza szyfrowania CMK po stronie usługi dla centrum.

Ograniczenia

  • Klucz zarządzany przez klienta na potrzeby szyfrowania można zaktualizować tylko do kluczy w tym samym wystąpieniu usługi Azure Key Vault.
  • Po wdrożeniu centra nie mogą przełączać się z kluczy zarządzanych przez firmę Microsoft do kluczy zarządzanych przez klienta ani na odwrót.
  • Formularz żądania klucza zarządzanego przez klienta usługi Azure AI jest wymagany do używania kluczy zarządzanych przez klienta w połączeniu z funkcjami usługi Azure Speech i Content Moderator.
  • W momencie tworzenia nie można podać ani zmodyfikować zasobów utworzonych w grupie zasobów platformy Azure zarządzanej przez firmę Microsoft w ramach subskrypcji.
  • Nie można usunąć zasobów zarządzanych przez firmę Microsoft używanych dla kluczy zarządzanych przez klienta bez usuwania centrum.
  • Formularz żądania klucza zarządzanego przez klienta usługi Azure AI jest nadal wymagany dla usługi Mowa i Content Moderator.
  • Jeśli korzystasz z wersji zapoznawczej po stronie serwera, opłaty za platformę Azure będą nadal naliczane w okresie przechowywania usuwania nietrwałego.

Powiązana zawartość