Udostępnij za pośrednictwem

Klucze zarządzane przez klienta do szyfrowania

  • Artykuł

Usługa Azure AI jest oparta na wielu usługach platformy Azure. Chociaż dane klientów są bezpiecznie przechowywane przy użyciu kluczy szyfrowania, które firma Microsoft udostępnia domyślnie, możesz zwiększyć bezpieczeństwo, dostarczając własne (zarządzane przez klienta) klucze. Podane klucze są bezpiecznie przechowywane w usłudze Azure Key Vault.

Wymagania wstępne

  • Subskrypcja platformy Azure.
  • Wystąpienie usługi Azure Key Vault. Magazyn kluczy zawiera klucze używane do szyfrowania usług.
    • Wystąpienie magazynu kluczy musi włączyć usuwanie nietrwałe i ochronę przed przeczyszczeniem.
    • Tożsamość zarządzana usług zabezpieczonych przez klucz zarządzany przez klienta musi mieć następujące uprawnienia w magazynie kluczy:
      • Zawijanie klucza
      • odpakowywanie klucza
      • get

Co to są klucze zarządzane przez klienta?

Domyślnie firma Microsoft tworzy zasoby należące do firmy Microsoft i zarządza nimi w ramach subskrypcji platformy Azure należącej do firmy Microsoft i używa klucza zarządzanego przez firmę Microsoft do szyfrowania danych.

Jeśli używasz klucza zarządzanego przez klienta, te zasoby znajdują się w subskrypcji platformy Azure i są szyfrowane przy użyciu własnego klucza. Chociaż istnieją one w twojej subskrypcji, te zasoby są nadal zarządzane przez firmę Microsoft. Są one tworzone i konfigurowane automatycznie podczas tworzenia zasobu usługi Azure AI.

Te zasoby zarządzane przez firmę Microsoft znajdują się w nowej grupie zasobów platformy Azure utworzonej w ramach subskrypcji. Ta grupa zasobów istnieje oprócz grupy zasobów dla projektu. Zawiera ona zasoby zarządzane przez firmę Microsoft, z którymi jest używany klucz. Grupa zasobów nosi nazwę przy użyciu formuły <Azure AI resource group name><GUID>. Nie można zmienić nazewnictwa zasobów w tej zarządzanej grupie zasobów.

Napiwek

Jeśli zasób sztucznej inteligencji używa prywatnego punktu końcowego, ta grupa zasobów będzie również zawierać zarządzaną przez firmę Microsoft sieć wirtualną platformy Azure. Ta sieć wirtualna służy do zabezpieczania komunikacji między usługami zarządzanymi a projektem. Nie można podać własnej sieci wirtualnej do użycia z zasobami zarządzanymi przez firmę Microsoft. Nie można również zmodyfikować sieci wirtualnej. Na przykład nie można zmienić używanego zakresu adresów IP.

Ważne

Jeśli twoja subskrypcja nie ma wystarczającego limitu przydziału dla tych usług, wystąpi błąd.

Ważne

W przypadku korzystania z klucza zarządzanego przez klienta koszty subskrypcji będą wyższe, ponieważ te zasoby znajdują się w twojej subskrypcji. Aby oszacować koszt, użyj kalkulatora cen platformy Azure.

Ostrzeżenie

Nie usuwaj zarządzanej grupy zasobów żadnej z zasobów utworzonych automatycznie w tej grupie. Jeśli musisz usunąć w niej grupę zasobów lub usługi zarządzane przez firmę Microsoft, musisz usunąć zasoby usługi Azure AI, które go używają. Zasoby grupy zasobów są usuwane po usunięciu skojarzonego zasobu sztucznej inteligencji.

Włączanie kluczy zarządzanych przez klienta

Proces włączania kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault dla usług azure AI różni się w zależności od produktu. Skorzystaj z tych linków, aby uzyskać instrukcje specyficzne dla usługi:

Jak są przechowywane dane obliczeniowe

Usługa Azure AI używa zasobów na potrzeby wystąpienia obliczeniowego i bezserwerowych obliczeń podczas dostosowywania modeli lub tworzenia przepływów. W poniższej tabeli opisano opcje obliczeniowe i sposób szyfrowania danych przy użyciu każdego z nich:

Compute Szyfrowanie
Wystąpienie obliczeniowe Lokalny dysk tymczasowy jest szyfrowany.
Bezserwerowe usługi obliczeniowe Dysk systemu operacyjnego zaszyfrowany w usłudze Azure Storage przy użyciu kluczy zarządzanych przez firmę Microsoft. Dysk tymczasowy jest szyfrowany.

Wystąpienie obliczeniowe Dysk systemu operacyjnego dla wystąpienia obliczeniowego jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft na kontach magazynu zarządzanego przez firmę Microsoft. Jeśli projekt został utworzony przy użyciu parametru ustawionego na TRUEwartość , lokalny dysk tymczasowy w wystąpieniu hbi_workspace obliczeniowym jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Szyfrowanie kluczy zarządzanych przez klienta nie jest obsługiwane w przypadku systemu operacyjnego i dysku tymczasowego.

Obliczenia bezserwerowe Dysk systemu operacyjnego dla każdego węzła obliczeniowego przechowywanego w usłudze Azure Storage jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Ten docelowy obiekt obliczeniowy jest efemeryczny, a klastry są zwykle skalowane w dół, gdy żadne zadania nie są kolejkowane. Podstawowa maszyna wirtualna zostanie anulowana, a dysk systemu operacyjnego zostanie usunięty. Usługa Azure Disk Encryption nie jest obsługiwana dla dysku systemu operacyjnego.

Każda maszyna wirtualna ma również lokalny dysk tymczasowy dla operacji systemu operacyjnego. Jeśli chcesz, możesz użyć dysku do przygotowania danych treningowych. To środowisko jest krótkotrwałe (tylko podczas zadania), a obsługa szyfrowania jest ograniczona tylko do kluczy zarządzanych przez system.

Ograniczenia

  • Klucze szyfrowania nie są przekazywane z zasobu usługi Azure AI do zasobów zależnych, w tym usług Azure AI Services i Azure Storage podczas konfigurowania zasobu usługi Azure AI. Należy ustawić szyfrowanie specjalnie dla każdego zasobu.
  • Klucz zarządzany przez klienta na potrzeby szyfrowania można zaktualizować tylko do kluczy w tym samym wystąpieniu usługi Azure Key Vault.
  • Po wdrożeniu nie można przełączyć się z kluczy zarządzanych przez firmę Microsoft do kluczy zarządzanych przez klienta ani na odwrót.
  • Zasoby utworzone w grupie zasobów platformy Azure zarządzanej przez firmę Microsoft w ramach subskrypcji nie mogą być modyfikowane przez Ciebie ani udostępniane przez Ciebie w momencie tworzenia jako istniejących zasobów.
  • Nie można usunąć zasobów zarządzanych przez firmę Microsoft używanych na potrzeby kluczy zarządzanych przez klienta bez usuwania projektu.

Powiązana zawartość