المفاتيح التي يديرها العميل للتشفير
تم إنشاء Azure الذكاء الاصطناعي فوق خدمات Azure المتعددة. بينما يتم تخزين البيانات بأمان باستخدام مفاتيح التشفير التي توفرها Microsoft، يمكنك تحسين الأمان من خلال توفير المفاتيح الخاصة بك (التي يديرها العميل). يتم تخزين المفاتيح التي تقدمها بأمان باستخدام Azure Key Vault.
المتطلبات الأساسية
اشتراك Azure.
إنشاء مثيل Azure Key Vault. يحتوي مخزن المفاتيح على المفتاح (المفاتيح) المستخدمة لتشفير خدماتك.
يجب أن يتيح مثيل مخزن مفاتيح الحماية من الحذف المبدئي والإزالة.
يجب أن يكون للهوية المدارة للخدمات المؤمنة بواسطة مفتاح مدار من قبل العميل الأذونات التالية في مخزن مفاتيح:
- مفتاح الالتفاف
- مفتاح إلغاء الفك
- احصل
على سبيل المثال، ستحتاج الهوية المدارة لـ Azure Cosmos DB إلى الحصول على هذه الأذونات إلى مخزن المفاتيح.
كيفية تخزين بيانات التعريف
يتم استخدام الخدمات التالية بواسطة Azure الذكاء الاصطناعي لتخزين بيانات التعريف لمورد Azure الذكاء الاصطناعي ومشاريعك:
| الخدمة | سبب استخدام كلٍ منهما | مثال |
|---|---|---|
| Azure Cosmos DB | تخزين بيانات التعريف لمشاريع وأدوات Azure الذكاء الاصطناعي | الطوابع الزمنية لإنشاء التدفق، وعلامات التوزيع، ومقاييس التقييم |
| Azure الذكاء الاصطناعي Search | يخزن المؤشرات المستخدمة للمساعدة في الاستعلام عن محتوى استوديو الذكاء الاصطناعي. | فهرس يستند إلى أسماء توزيع النموذج |
| حساب مساحة تخزين Azure | تخزين البيانات الاصطناعية التي تم إنشاؤها بواسطة مشاريع وأدوات Azure الذكاء الاصطناعي | نماذج مضبوطة بدقة |
يتم تشفير جميع الخدمات المذكورة أعلاه باستخدام نفس المفتاح في الوقت الذي تقوم فيه بإنشاء مورد Azure الذكاء الاصطناعي للمرة الأولى، ويتم إعدادها في مجموعة موارد مدارة في اشتراكك مرة واحدة لكل مورد Azure الذكاء الاصطناعي ومجموعة من المشاريع المقترنة به. تقوم موارد ومشاريع Azure الذكاء الاصطناعي بقراءة البيانات وكتابتها باستخدام الهوية المدارة. يتم منح الهويات المدارة حق الوصول إلى الموارد باستخدام تعيين دور (التحكم في الوصول المستند إلى دور Azure) على موارد البيانات. يتم استخدام مفتاح التشفير الذي توفره لتشفير البيانات المخزنة على الموارد التي تديرها Microsoft. كما يتم استخدامه لإنشاء مؤشرات ل Azure الذكاء الاصطناعي Search، والتي يتم إنشاؤها في وقت التشغيل.
المفاتيح التي يديرها العميل
عندما لا تستخدم مفتاحا يديره العميل، تنشئ Microsoft هذه الموارد وتديرها في اشتراك Azure مملوك لـ Microsoft وتستخدم مفتاحا تديره Microsoft لتشفير البيانات.
عند استخدام مفتاح يديره العميل، تكون هذه الموارد في اشتراك Azure ويتم تشفيرها باستخدام المفتاح الخاص بك. أثناء وجودها في اشتراكك، تتم إدارة هذه الموارد بواسطة Microsoft. يتم إنشاؤها وتكوينها تلقائيا عند إنشاء مورد Azure الذكاء الاصطناعي.
هام
عند استخدام مفتاح يديره العميل، ستكون تكاليف اشتراكك أعلى بسبب هذه الموارد في اشتراكك. لتقدير التكلفة، استخدم حاسبة أسعار Azure.
توجد هذه الموارد التي تديرها Microsoft في مجموعة موارد Azure جديدة يتم إنشاؤها في اشتراكك. هذه المجموعة بالإضافة إلى مجموعة الموارد لمشروعك. تحتوي مجموعة الموارد هذه على الموارد التي تديرها Microsoft التي يتم استخدام المفتاح معها. تسمى مجموعة الموارد باستخدام صيغة <Azure AI resource group name><GUID>. لا يمكن تغيير تسمية الموارد في مجموعة الموارد المدارة هذه.
تلميح
- يتم تغيير سعة وحدات الطلب لـAzure Cosmos DB تلقائيًا حسب الحاجة.
- إذا كان مورد الذكاء الاصطناعي يستخدم نقطة نهاية خاصة، فستحتوي مجموعة الموارد هذه أيضا على شبكة Azure الظاهرية التي تديرها Microsoft. تستخدم الشبكة الظاهرية هذه لتأمين الاتصالات بين الخدمات المدارة والمشروع. لا يمكنك توفير الشبكة الظاهرية الخاصة بك للاستخدام مع الموارد التي تديرها Microsoft. لا يمكنك أيضاً تعديل الشبكة الظاهرية. على سبيل المثال، لا يمكنك تغيير نطاق عناوين IP الذي تستخدمه.
هام
إذا لم يكن لاشتراكك حصة نسبية كافية لهذه الخدمات، فسيحدث فشل.
التحذير
لا تحذف مجموعة الموارد المدارة التي تحتوي على مثيل Azure Cosmos DB هذا، أو أي من الموارد التي تم إنشاؤها تلقائيا في هذه المجموعة. إذا كنت بحاجة إلى حذف مجموعة الموارد أو الخدمات التي تديرها Microsoft فيها، يجب حذف موارد Azure الذكاء الاصطناعي التي تستخدمها. يتم حذف موارد مجموعة الموارد عند حذف مورد الذكاء الاصطناعي المقترن.
تختلف عملية تمكين المفاتيح المدارة بواسطة العميل باستخدام Azure Key Vault لخدمات Azure الذكاء الاصطناعي حسب المنتج. استخدم هذه الروابط للحصول على إرشادات خاصة بالخدمة:
- تشفير Azure OpenAI للبيانات الثابتة
- تشفير Custom Vision للبيانات الثابتة
- تشفير خدمات الوجه للبيانات الثابتة
- تشفير ذكاء المستند للبيانات الثابتة
- تشفير المترجم للبيانات الثابتة
- تشفير خدمة اللغة للبيانات الثابتة
- تشفير الكلام للبيانات الثابتة
- تشفير وسيط المحتوى للبيانات الثابتة (عدم تنقلها)
- التشفير المخصص للبيانات الثابتة
كيفية تخزين بيانات الحوسبة
يستخدم Azure الذكاء الاصطناعي موارد الحوسبة لمثيل الحساب والحوسبة بلا خادم عند ضبط النماذج أو تدفقات الإنشاء. يصف الجدول التالي خيارات الحوسبة وكيفية تشفير البيانات بواسطة كل منها:
| Compute | التشفير |
|---|---|
| مثيل الحساب | قرص الصفر المحلي مشفر. |
| حساب بلا خادم | قرص نظام التشغيل مشفر في Azure Storage باستخدام مفاتيح تديرها Microsoft. يتم تشفير القرص المؤقت. |
مثيل الحساب يتم تشفير قرص نظام التشغيل لمثيل الحساب باستخدام مفاتيح مدارة من قبل Microsoft في حسابات التخزين المدارة من قبل Microsoft. إذا تم إنشاء المشروع مع تعيين المعلمة hbi_workspace إلى TRUE، يتم تشفير القرص المؤقت المحلي على مثيل الحساب باستخدام مفاتيح Microsoft المدارة. تشفير المفتاح المدار من قبل العميل غير مدعوم لنظام التشغيل والقرص المؤقت.
حساب بلا خادم يتم تشفير قرص نظام التشغيل لكل عقدة حساب مخزنة في Azure Storage باستخدام مفاتيح تديرها Microsoft. يتسم هدف الحساب هذا بأنه سريع الزوال، وعادة ما يتم تقليل حجم المجموعات عندما لا يتم وضع أي وظائف تشغيل في قائمة الانتظار. يتم إلغاء توفير الجهاز الظاهري الأساسي، ويتم حذف قرص نظام التشغيل. تشفير قرص Azure غير مدعوم لقرص نظام التشغيل.
يحتوي كل جهاز ظاهري أيضاً على قرص مؤقت محلي لعمليات نظام التشغيل. إذا أردت، يمكنك استخدام القرص لتنظيم بيانات التدريب. هذه البيئة قصيرة الأجل (خلال مدة الوظيفة)، ويقتصر دعم التشفير على المفاتيح المدارة من قبل النظام فقط.
القيود
- لا تمر مفاتيح التشفير من مورد Azure الذكاء الاصطناعي إلى الموارد التابعة بما في ذلك Azure الذكاء الاصطناعي Services وAzure Storage عند تكوينها على مورد Azure الذكاء الاصطناعي. يجب عليك تعيين التشفير على وجه التحديد على كل مورد.
- يمكن تحديث المفتاح المدار من قبل العميل للتشفير فقط إلى المفاتيح في نفس مثيل Azure Key Vault.
- بعد النشر، لا يمكنك التبديل من المفاتيح التي تديرها Microsoft إلى المفاتيح التي يديرها العميل أو العكس.
- لا يمكن تعديل الموارد التي تم إنشاؤها في مجموعة موارد Azure المدارة من قبل Microsoft في اشتراكك أو توفيرها من قبلك في وقت الإنشاء كموارد موجودة.
- لا يمكنك حذف الموارد التي تديرها Microsoft والمستخدمة للمفاتيح التي يديرها العميل دون حذف مشروعك أيضا.
الخطوات التالية
- لا يزال نموذج طلب المفتاح المدار من قبل العملاء لخدمات Azure الذكاء الاصطناعي مطلوبا لمشرف الكلام والمحتوى.
- ما هو Azure Key Vault؟
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ