Klíče spravované zákazníkem pro šifrování
Azure AI je postavená na několika službách Azure. I když jsou data bezpečně uložená pomocí šifrovacích klíčů, které Microsoft poskytuje, můžete zvýšit zabezpečení tím, že poskytnete vlastní klíče (spravované zákazníkem). Zadané klíče se bezpečně ukládají pomocí služby Azure Key Vault.
Předpoklady
Předplatné Azure.
Instance služby Azure Key Vault. Trezor klíčů obsahuje klíče používané k šifrování vašich služeb.
Instance trezoru klíčů musí povolit obnovitelné odstranění a ochranu před vymazáním.
Spravovaná identita služeb zabezpečených klíčem spravovaným zákazníkem musí mít v trezoru klíčů následující oprávnění:
- zalamovací klíč
- unwrap key
- get
Spravovaná identita služby Azure Cosmos DB by například musela mít tato oprávnění k trezoru klíčů.
Způsob ukládání metadat
Azure AI používá následující služby k ukládání metadat pro prostředky a projekty Azure AI:
| Service | K čemu slouží | Příklad |
|---|---|---|
| Azure Cosmos DB | Ukládá metadata pro projekty a nástroje Azure AI. | Časové razítka vytváření toku, značky nasazení, metriky vyhodnocení |
| Azure AI Search | Ukládá indexy, které slouží k dotazování obsahu AI Studia. | Index založený na názvech nasazení modelu |
| Účet služby Azure Storage | Ukládá artefakty vytvořené projekty a nástroji Azure AI. | Jemně vyladěné modely |
Všechny výše uvedené služby se šifrují pomocí stejného klíče při prvním vytvoření prostředku Azure AI a nastaví se ve spravované skupině prostředků ve vašem předplatném jednou pro každý prostředek Azure AI a sadu projektů přidružených k němu. Prostředky a projekty Azure AI čtou a zapisuje data pomocí spravované identity. Spravované identity mají udělený přístup k prostředkům pomocí přiřazení role (řízení přístupu na základě role Azure) k datovým prostředkům. Šifrovací klíč, který zadáte, slouží k šifrování dat uložených na prostředcích spravovaných Microsoftem. Používá se také k vytváření indexů pro Azure AI Search, které se vytvářejí za běhu.
Klíče spravované zákazníkem
Pokud nepoužíváte klíč spravovaný zákazníkem, Microsoft tyto prostředky vytvoří a spravuje v předplatném Azure vlastněného Microsoftem a k šifrování dat používá klíč spravovaný Microsoftem.
Pokud používáte klíč spravovaný zákazníkem, jsou tyto prostředky ve vašem předplatném Azure a zašifrované pomocí vašeho klíče. I když existují ve vašem předplatném, tyto prostředky spravuje Microsoft. Automaticky se vytvoří a nakonfigurují při vytváření prostředku Azure AI.
Důležité
Při použití klíče spravovaného zákazníkem budou náklady na vaše předplatné vyšší, protože tyto prostředky jsou ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.
Tyto prostředky spravované Microsoftem se nacházejí v nové skupině prostředků Azure, která se vytvoří ve vašem předplatném. Tato skupina je navíc ke skupině prostředků pro váš projekt. Tato skupina prostředků obsahuje prostředky spravované Microsoftem, se kterými se váš klíč používá. Skupina prostředků je pojmenována pomocí vzorce <Azure AI resource group name><GUID>. Není možné změnit pojmenování prostředků v této spravované skupině prostředků.
Tip
- Jednotky žádostí pro službu Azure Cosmos DB se podle potřeby automaticky škáluje.
- Pokud váš prostředek AI používá privátní koncový bod, bude tato skupina prostředků obsahovat také virtuální síť Azure spravovanou Microsoftem. Tato virtuální síť slouží k zabezpečení komunikace mezi spravovanými službami a projektem. Nemůžete poskytnout vlastní virtuální síť pro použití s prostředky spravovanými Microsoftem. Nemůžete také upravit virtuální síť. Rozsah IP adres, který používá, například nemůžete změnit.
Důležité
Pokud vaše předplatné nemá dostatečnou kvótu pro tyto služby, dojde k selhání.
Upozorňující
Neodstraňovat spravovanou skupinu prostředků, která obsahuje tuto instanci služby Azure Cosmos DB, ani žádné prostředky automaticky vytvořené v této skupině. Pokud potřebujete odstranit skupinu prostředků nebo služby spravované Microsoftem, musíte odstranit prostředky Azure AI, které ji používají. Prostředky skupiny prostředků se odstraní při odstranění přidruženého prostředku AI.
Proces povolení klíčů spravovaných zákazníkem se službou Azure Key Vault pro služby Azure AI se liší podle produktu. Pro konkrétní služby použijte tyto odkazy:
- Šifrování neaktivních uložených dat v Azure OpenAI
- Šifrování neaktivních uložených dat služby Custom Vision
- Šifrování neaktivních uložených dat ve službě Face Services
- Šifrování neaktivních uložených dat funkce Document Intelligence
- Translator encryption of data at rest
- Šifrování neaktivních uložených dat v jazykové službě
- Šifrování neaktivních uložených dat řeči
- Šifrování neaktivních uložených dat v Content Moderatoru
- Personalizace šifrování neaktivních uložených dat
Způsob ukládání výpočetních dat
Azure AI používá výpočetní prostředky pro výpočetní instanci a bezserverové výpočetní prostředky při vyladění modelů nebo sestavování toků. Následující tabulka popisuje možnosti výpočetních prostředků a způsob šifrování dat jednotlivými možnostmi:
| Compute | Šifrování |
|---|---|
| Výpočetní instance | Místní pomocný disk je zašifrovaný. |
| Bezserverové výpočetní prostředí | Disk s operačním systémem šifrovaný ve službě Azure Storage pomocí klíčů spravovaných Microsoftem Dočasný disk je šifrovaný. |
Výpočetní instance Disk s operačním systémem pro výpočetní instanci je šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště spravovaných Microsoftem. Pokud byl projekt vytvořen s parametrem hbi_workspace nastaveným na TRUE, místní dočasný disk výpočetní instance je šifrovaný pomocí spravovaných klíčů Microsoftu. Šifrování klíčů spravovaných zákazníkem není podporováno pro operační systém a dočasný disk.
Bezserverový výpočetní disk operačního systému pro každý výpočetní uzel uložený v Azure Storage je šifrovaný pomocí klíčů spravovaných Microsoftem. Tento cílový výpočetní objekt je dočasný a clustery se obvykle škálují dolů, když se nezařadí do fronty žádné úlohy. Základní virtuální počítač se zruší a disk s operačním systémem se odstraní. Azure Disk Encryption není pro disk s operačním systémem podporovaný.
Každý virtuální počítač má také místní dočasný disk pro operace operačního systému. Pokud chcete, můžete disk použít k přípravě trénovacích dat. Toto prostředí je krátkodobé (pouze během vaší úlohy) a podpora šifrování je omezená pouze na klíče spravované systémem.
Omezení
- Šifrovací klíče se z prostředku Azure AI nepřecházejí do závislých prostředků, včetně služeb Azure AI a Azure Storage při konfiguraci prostředku Azure AI. Pro každý prostředek musíte nastavit šifrování speciálně.
- Klíč spravovaný zákazníkem pro šifrování je možné aktualizovat pouze na klíče ve stejné instanci služby Azure Key Vault.
- Po nasazení nemůžete přepnout z klíčů spravovaných Microsoftem na klíče spravované zákazníkem nebo naopak.
- Prostředky vytvořené ve skupině prostředků Azure spravované Microsoftem ve vašem předplatném není možné upravovat ani je poskytnout v době vytvoření jako existující prostředky.
- Nemůžete odstranit prostředky spravované Microsoftem používané pro klíče spravované zákazníkem bez odstranění projektu.
Další kroky
- Formulář žádosti o klíč spravovaný zákazníkem spravované službou Azure AI se stále vyžaduje pro Speech a Content Moderator.
- Co je Azure Key Vault?