مشاركة عبر

تشفير خدمة Azure OpenAI للبيانات الثابتة

  • مقالة

يقوم Azure OpenAI تلقائيا بتشفير بياناتك عند استمرارها في السحابة. يحمي التشفير بياناتك ويساعدك على الوفاء بالتزامات الأمان والتوافق التنظيمية. تتناول هذه المقالة كيفية معالجة Azure OpenAI لتشفير البيانات الثابتة، وتحديدا بيانات التدريب والنماذج الدقيقة. للحصول على معلومات حول كيفية معالجة البيانات التي تقدمها إلى الخدمة واستخدامها وتخزينها، راجع مقالة البيانات والخصوصية والأمان.

حول تشفير خدمات Azure الذكاء الاصطناعي

Azure OpenAI هو جزء من خدمات Azure الذكاء الاصطناعي. يتم تشفير بيانات خدمات Azure الذكاء الاصطناعي وفك تشفيرها باستخدام تشفير AES المتوافق مع FIPS 140-2 2. يتسم التشفير وفك التشفير بالشفافية، مما يعني أنه تتم إدارة التشفير والوصول من أجلك. بياناتك آمنة بشكل افتراضي ولن تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. هناك أيضا خيار لإدارة اشتراكك باستخدام المفاتيح الخاصة بك تسمى المفاتيح المدارة من قبل العميل (CMK). يوفر CMK قدراً أكبر من المرونة لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

استخدام المفاتيح التي يديرها العميل مع Azure Key Vault

توفر المفاتيح التي يديرها العميل (CMK)، والمعروفة أيضاً باسم إحضار المفتاح الخاص بك (BYOK)، قدراً أكبر من المرونة لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح المُدارة بواسطة العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد خدمات Azure الذكاء الاصطناعي وخزنة المفاتيح في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيدٍ من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

لتمكين المفاتيح التي يديرها العميل، يجب أن يفي مخزن المفاتيح الذي يحتوي على مفاتيحك بهذه المتطلبات:

  • يجب تمكين كل من خصائص الحذف الناعم وعدم الإزالة في مخزن المفاتيح.
  • إذا كنت تستخدم جدار حماية Key Vault، يجب السماح خدمات Microsoft الموثوقة بالوصول إلى مخزن المفاتيح.
  • يجب أن يستخدم مخزن المفاتيح نهج الوصول القديمة.
  • يجب منح الهوية المدارة المعينة من قبل النظام لمورد Azure OpenAI الأذونات التالية على مخزن المفاتيح الخاص بك: الحصول على المفتاح، مفتاح الالتفاف، مفتاح فك التغليف.

يتم دعم مفاتيح RSA وRSA-HSM بحجم 2048 فقط مع تشفير خدمات Azure الذكاء الاصطناعي. لمزيد من المعلومات حول المفاتيح، راجع Key Vault keys في حول مفاتيح Azure Key Vault والبيانات السرية والشهادات.

تمكين الهوية المدارة لمورد Azure OpenAI

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي.
  2. على اليسار، ضمن Resource Management، حدد Identity.
  3. قم بتبديل حالة الهوية المدارة المعينة من قبل النظام إلى تشغيل.
  4. احفظ التغييرات، وتأكد من رغبتك في تمكين الهوية المدارة المعينة من قبل النظام.

تكوين أذونات الوصول إلى مخزن المفاتيح

  1. في مدخل Microsoft Azure، انتقل إلى key vault الخاص بك.

  2. على اليسار، حدد Access policies.

    إذا رأيت رسالة تنصحك بعدم توفر نهج الوصول، أعد تكوين خزنة المفاتيح لاستخدام نهج الوصول القديمة قبل المتابعة.

  3. حدد إنشاء.

  4. ضمن Key permissions، حدد Get و Wrap Key و Unwrap Key. اترك خانات الاختيار المتبقية غير محددة.

    Screenshot of the Azure portal page for a key vault access policy. The permissions selected are Get Key, Wrap Key, and Unwrap Key.

  5. حدد التالي.

  6. ابحث عن اسم مورد Azure OpenAI وحدد هويته المدارة.

  7. حدد التالي.

  8. حدد التالي لتخطي تكوين أي إعدادات تطبيق.

  9. حدد إنشاء.

تمكين المفاتيح المدارة من قبل العميل على مورد Azure OpenAI

لتمكين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، اتبع هذه الخطوات.

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي.

  2. على اليسار، ضمن Resource Management، حدد Encryption.

  3. ضمن Encryption type، حدد Customer Managed Keys، مثلما هو موضح في لقطة الشاشة التالية.

    Screenshot of create a resource user experience.

حدد مفتاحاً

بعد تمكين المفاتيح التي يديرها العميل، يمكنك تحديد مفتاح لإقرانه بمورد خدمات Azure الذكاء الاصطناعي.

حدد مفتاحاً باعتباره URI

لتحديد مفتاح كعنوان URI، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى key vault الخاص بك.

  2. ضمن Objects، حدد Keys.

  3. حدد المفتاح المطلوب، ثم حدد المفتاح لعرض الإصدار الخاصة به. حدد إصدار مفتاح لعرض إعدادات ذلك الإصدار.

  4. انسخ قيمة Key Identifier، التي توفر URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. ارجع إلى مورد خدمات Azure الذكاء الاصطناعي، ثم حدد التشفير.

  6. ضمن Encryption key، حدد Enter key URI.

  7. الصق URI الذي نسخته في مربع Key URI.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. ضمن اشتراك، حدد الاشتراك الذي يحتوي علىkey vault.

  9. احفظ تغييراتك.

تحديد مفتاح من مخزن مفاتيح

لتحديد مفتاح من مخزن مفاتيح، تأكد أولا من أن لديك مخزن مفاتيح يحتوي على مفتاح. ثم اتبع هذه الخطوات:

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي، ثم حدد تشفير.

  2. ضمن Encryption key، حدد Select from Key Vault.

  3. حدد مخزن المفاتيح التي تحتوي على المفتاح الذي تريد استخدامه.

  4. قم بتحديد المفتاح الذي تريد استخدامه.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. احفظ تغييراتك.

تحديث إصدار المفتاح

عند إنشاء إصدار جديد من مفتاح، قم بتحديث مورد خدمات Azure الذكاء الاصطناعي لاستخدام الإصدار الجديد. اتبع الخطوات التالية:

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي، ثم حدد تشفير.
  2. أدخل عنوان URL لإصدار المفتاح الجديد. بالتناوب، يمكنك تحديد مخزن المفاتيح ثم تحديد المفتاح مرة أخرى لتحديث الإصدار.
  3. احفظ تغييراتك.

استخدم مفتاح مختلف

لتغيير المفتاح الذي تستخدمه للتشفير، اتبع الخطوات التالية:

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي، ثم حدد تشفير.
  2. أدخل URI للمفتاح الجديد. بدلًا من ذلك، يمكنك تحديد key vault ثم تحديد مفتاح جديد.
  3. احفظ تغييراتك.

قم بتدوير المفاتيح المُدارة بواسطة العميل

يمكنك تدوير مفتاح يديره العميل في Key Vault وفقاً لنُهج الامتثال الخاصة بك. عند تدوير المفتاح، يجب تحديث مورد خدمات Azure الذكاء الاصطناعي لاستخدام مفتاح URI الجديد. لمعرفة طريقة تحديث المورد لاستخدام إصدار جديد من المفتاح في مدخل Microsoft Azure، راجع تحديث إصدار المفتاح.

تدوير المفتاح لا يؤدي إلى إعادة تشفير البيانات في المورد. لا يلزم اتخاذ أي إجراء آخر من قبل المستخدم.

إبطال المفاتيح المدارة بواسطة العميل

يمكنك إبطال مفتاح تشفير يديره العميل عن طريق تغيير نهج الوصول، أو عن طريق تغيير الأذونات في مخزن المفاتيح، أو عن طريق حذف المفتاح.

لتغيير نهج الوصول للهوية المدارة التي يستخدمها السجل الخاص بك، قم بتشغيل الأمر az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

لحذف الإصدارات الفردية من مفتاح، قم بتشغيل الأمر az-keyvault-key-delete . تتطلب هذه العملية إذن المفاتيح/الحذف.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

هام

سيؤدي إبطال الوصول إلى مفتاح نشط يديره العميل أثناء تمكين CMK إلى منع تنزيل بيانات التدريب وملفات النتائج، وضبط النماذج الجديدة، ونشر نماذج دقيقة. ومع ذلك، ستستمر النماذج المضبطة التي تم نشرها مسبقا في العمل وخدمة حركة المرور حتى يتم حذف عمليات النشر هذه.

حذف بيانات نتائج التدريب والتحقق من الصحة والتدريب

تسمح واجهة برمجة تطبيقات الملفات للعملاء بتحميل بيانات التدريب الخاصة بهم لغرض ضبط نموذج. يتم تخزين هذه البيانات في Azure Storage، داخل نفس المنطقة مثل المورد ومعزولة منطقيا مع اشتراك Azure وبيانات اعتماد واجهة برمجة التطبيقات الخاصة بهم. يمكن حذف الملفات التي تم تحميلها من قبل المستخدم عبر عملية DELETE API.

حذف النماذج والتوزيعات الدقيقة

تسمح واجهة برمجة تطبيقات Fine-tunes للعملاء بإنشاء إصدارهم الدقيق من نماذج OpenAI استنادا إلى بيانات التدريب التي قمت بتحميلها إلى الخدمة عبر واجهات برمجة تطبيقات الملفات. يتم تخزين النماذج المدربة المضبطة في Azure Storage في نفس المنطقة، ويتم تشفيرها في حالة الثبات (إما باستخدام المفاتيح المدارة من Microsoft أو المفاتيح المدارة من قبل العميل) ومعزولة منطقيا مع اشتراك Azure وبيانات اعتماد واجهة برمجة التطبيقات الخاصة بهم. يمكن للمستخدم حذف النماذج والتوزيعات الدقيقة عن طريق استدعاء عملية DELETE API.

استخدام المفاتيح المُدارة بواسطة العملاء

عند تعطيل المفاتيح التي يديرها العميل، يتم تشفير مورد خدمات Azure الذكاء الاصطناعي باستخدام مفاتيح تديرها Microsoft. لتعطيل المفاتيح التي يديرها العميل، اتبع الخطوات التالية:

  1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي، ثم حدد تشفير.
  2. حدد حفظ المفاتيح>المدارة من Microsoft.

عند تمكين المفاتيح المدارة من قبل العميل، مكن ذلك أيضا هوية مدارة معينة من قبل النظام، وهي ميزة من Microsoft Entra ID. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، سيتم تسجيل هذا المورد بمعرف Microsoft Entra. بعد التسجيل، سيتم منح الهوية المُدارة إمكانية الوصول إلى Key Vault المحدد خلال إعداد المفتاح المُدار من قِبل العميل. يمكنك معرفة المزيد حول الهويات المُدارة.

هام

إذا قمت بتعطيل الهويات المُدارة المخصصة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل متاحاً بعد ذلك. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، يتم تعيين الهوية المُدارة تلقائياً ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Microsoft Entra إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra في الأسئلة المتداولة والمشكلات المعروفة مع الهويات المدارة لموارد Azure.

الخطوات التالية