Partilhar via

Chaves gerenciadas pelo cliente para criptografia com o Azure AI Studio

  • Artigo

As chaves gerenciadas pelo cliente (CMKs) no Azure AI Studio fornecem controle aprimorado sobre a criptografia de seus dados. Usando CMKs, você pode gerenciar suas próprias chaves de criptografia para adicionar uma camada extra de proteção e atender aos requisitos de conformidade de forma mais eficaz.

Sobre a criptografia no Azure AI Studio

Camadas do Azure AI Studio sobre os serviços Azure Machine Learning e Azure AI. Por padrão, esses serviços usam chaves de criptografia gerenciadas pela Microsoft.

Os recursos de hub e projeto são implementações do espaço de trabalho do Azure Machine Learning e criptografam dados em trânsito e em repouso. Veja Encriptação de dados com o Azure Machine Learning para obter detalhes.

Os dados dos serviços de IA do Azure são criptografados e descriptografados usando criptografia AES de 256 bits compatível com FIPS 140-2. A encriptação e a desencriptação são transparentes, o que significa que a encriptação e o acesso são geridos por si. Os dados estão protegidos por predefinição e não precisa de modificar o código ou as aplicações para tirar partido da encriptação.

Armazenamento de dados na sua subscrição ao utilizar chaves geridas pelo cliente

Os recursos de hub armazenam metadados em sua assinatura do Azure ao usar chaves gerenciadas pelo cliente. Os dados são armazenados em um grupo de recursos gerenciado pela Microsoft que inclui uma conta de Armazenamento do Azure, um recurso do Azure Cosmos DB e o Azure AI Search.

Importante

Ao utilizar uma chave gerida pelo cliente, os custos da sua subscrição serão mais elevados porque os dados encriptados são armazenados na sua subscrição. Para estimar o custo, use a calculadora de preços do Azure.

A chave de criptografia fornecida ao criar um hub é usada para criptografar dados armazenados em recursos gerenciados pela Microsoft. Todos os projetos que usam o mesmo hub armazenam dados sobre os recursos em um grupo de recursos gerenciado identificado pelo nome azureml-rg-hubworkspacename_GUID. Os projetos usam a autenticação do Microsoft Entra ID ao interagir com esses recursos. Se o hub tiver um ponto de extremidade de link privado, o acesso à rede aos recursos gerenciados será restrito. O grupo de recursos gerenciados é excluído quando o hub é excluído.

Os dados a seguir são armazenados nos recursos gerenciados.

Serviço Para que é utilizado? Exemplo
Azure Cosmos DB Armazena metadados para seus projetos e ferramentas de IA do Azure Nomes de índice, tags; Criação de fluxos, carimbos de data/hora; tags de implantação; métricas de avaliação
Pesquisa de IA do Azure Armazena índices que são usados para ajudar a consultar o conteúdo do seu estúdio de IA. Um índice baseado nos nomes de implantação do modelo
Conta de armazenamento do Azure Armazena instruções sobre como as tarefas de personalização são orquestradas Representação JSON de fluxos criados no AI Studio

Importante

O Azure AI Studio usa a computação do Azure gerenciada na assinatura da Microsoft, por exemplo, quando você ajusta modelos ou cria fluxos. Seus discos são criptografados com chaves gerenciadas pela Microsoft. A computação é efêmera, ou seja, depois que uma tarefa é concluída, a máquina virtual é desprovisionada e o disco do sistema operacional é excluído. As máquinas de instância de computação usadas para experiências de 'Código' são persistentes. O Azure Disk Encryption não tem suporte para o disco do sistema operacional.

(Pré-visualização) Armazenamento do lado do serviço de dados criptografados ao usar chaves gerenciadas pelo cliente

Uma nova arquitetura para criptografia de chave gerenciada pelo cliente com hubs está disponível na visualização, que resolve a dependência do grupo de recursos gerenciados. Neste novo modelo, os dados encriptados são armazenados do lado do serviço em recursos geridos pela Microsoft, em vez de nos recursos geridos na sua subscrição. Os metadados são armazenados em recursos multilocatários usando criptografia CMK no nível do documento. Uma instância do Azure AI Search é hospedada no lado da Microsoft por cliente e para cada hub. Devido ao seu modelo de recurso dedicado, o custo do Azure é cobrado na sua subscrição através do recurso de hub.

Nota

Durante essa visualização, não há suporte para rotação de chaves e recursos de identidade atribuídos pelo usuário. Atualmente, não há suporte para criptografia do lado do serviço em referência a um Cofre de Chaves do Azure para armazenar sua chave de criptografia que tenha o acesso à rede pública desabilitado.

Usar chaves gerenciadas pelo cliente com o Azure Key Vault

Tem de utilizar o Azure Key Vault para armazenar as chaves geridas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. O recurso de serviços de IA do Azure e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?.

Para habilitar chaves gerenciadas pelo cliente, o cofre de chaves que contém suas chaves deve atender a estes requisitos:

  • Você deve habilitar as propriedades Soft Delete e Do Not Purge no cofre de chaves.
  • Se você usar o firewall do Cofre da Chave, deverá permitir que serviços confiáveis da Microsoft acessem o cofre de chaves.
  • Você deve conceder à identidade gerenciada atribuída pelo sistema do seu hub e do recurso dos Serviços de IA do Azure as seguintes permissões em seu cofre de chaves: get key, wrap key, unwrap key.

As seguintes limitações são válidas para os Serviços de IA do Azure:

  • Apenas o Azure Key Vault com políticas de acesso herdadas é suportado.
  • Apenas as chaves RSA e RSA-HSM de tamanho 2048 são suportadas com a encriptação dos serviços de IA do Azure. Para obter mais informações sobre chaves, consulte Chaves do Cofre de Chaves em Sobre chaves, segredos e certificados do Cofre de Chaves do Azure.

Habilite a identidade gerenciada do recurso dos Serviços de IA do Azure

Se estiver se conectando com os Serviços de IA do Azure ou variantes dos Serviços de IA do Azure, como o Azure OpenAI, você precisará habilitar a identidade gerenciada como um pré-requisito para usar chaves gerenciadas pelo cliente.

  1. Vá para o recurso de serviços de IA do Azure.
  2. À esquerda, em Gerenciamento de Recursos, selecione Identidade.
  3. Alterne o status de identidade gerenciada atribuído ao sistema para Ativado.
  4. Salve as alterações e confirme que deseja habilitar a identidade gerenciada atribuída ao sistema.

Ativar as chaves geridas pelo cliente

O estúdio de IA do Azure baseia-se no hub como implementação do espaço de trabalho do Azure Machine Learning, dos Serviços de IA do Azure e permite que você se conecte com outros recursos no Azure. Você deve definir a criptografia especificamente em cada recurso.

A criptografia de chave gerenciada pelo cliente é configurada por meio do portal do Azure de maneira semelhante para cada recurso do Azure:

  1. Crie um novo recurso do Azure no portal do Azure.
  2. Na guia criptografia, selecione sua chave de criptografia.

Captura de ecrã do separador encriptação com a opção de encriptação do lado do serviço selecionada.

Como alternativa, use opções de infraestrutura como código para automação. Exemplos de modelos de Bicep para o Azure AI Studio estão disponíveis no repositório de Início Rápido do Azure:

  1. Criptografia CMK para hub.
  2. Visualização de criptografia CMK do lado do serviço para hub.

Limitações

  • A chave gerenciada pelo cliente para criptografia só pode ser atualizada para chaves na mesma instância do Cofre de Chaves do Azure.
  • Após a implantação, os hubs não podem alternar de chaves gerenciadas pela Microsoft para chaves gerenciadas pelo cliente ou vice-versa.
  • O Formulário de Solicitação de Chave Gerenciada pelo Cliente dos serviços de IA do Azure é necessário para usar chaves gerenciadas pelo cliente em combinação com os recursos do Azure Speech and Content Moderator.
  • No momento da criação, você não pode fornecer ou modificar recursos criados no grupo de recursos do Azure gerenciado pela Microsoft em sua assinatura.
  • Não é possível excluir recursos gerenciados pela Microsoft usados para chaves gerenciadas pelo cliente sem excluir também o hub.
  • O Formulário de Solicitação de Chave Gerenciada pelo Cliente dos serviços de IA do Azure ainda é necessário para o Moderador de Fala e Conteúdo.

Conteúdos relacionados