Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
Tento dokument se týká portálu Microsoft Foundry (Classic).
🔍Informace o novém portálu najdete v dokumentaci k Microsoft Foundry (nové).
Azure OpenAI automaticky šifruje vaše data, když se zachovají do cloudu. Šifrování chrání vaše data a pomáhá splnit závazky vaší organizace týkající se zabezpečení a dodržování předpisů. Tento článek popisuje, jak Azure OpenAI zpracovává šifrování neaktivních uložených dat, konkrétně trénování dat a jemně vyladěných modelů. Informace o tom, jak jsou data poskytovaná službou zpracována, používána a uložena, najdete v článku o datech, ochraně osobních údajů a zabezpečení.
Informace o šifrování Azure OpenAI
Data Azure OpenAI se šifrují a dešifrují pomocí 256bitového šifrování AES vyhovující standardu FIPS 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.
Správa šifrovacích klíčů
Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem (CMK). Klíče spravované zákazníkem (CMK) nabízejí větší flexibilitu při vytváření, rotaci, zakázání a zrušení kontroly přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
Použití klíčů spravovaných zákazníkem se službou Azure Key Vault
Klíče spravované zákazníkem (CMK), označované také jako Přineste si vlastní klíč (BYOK), nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Prostředek Azure OpenAI a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?
Aby bylo možné povolit klíče spravované zákazníkem, musí trezor klíčů obsahující vaše klíče splňovat tyto požadavky:
- U trezoru klíčů musíte povolit vlastnosti měkkého odstranění a nevymazání.
- Pokud používáte firewall služby Key Vault, musíte povolit důvěryhodným službám Microsoft přístup k Key Vault.
-
Oprávnění služby Key Vault:
- Pokud používáte Azure RBAC, přiřaďte spravované identitě roli uživatele šifrování šifrovací služby Key Vault.
- Pokud používáte zásady přístupu trezoru, udělte oprávnění specifická pro klíč, získejte, rozbalte klíč a zabalte klíč do spravované identity přiřazené systémem nebo uživatelem přiřazené prostředku Azure OpenAI.
Šifrování Azure OpenAI podporuje pouze klíče RSA a RSA-HSM velikosti 2048. Další informace o klíčích najdete v tématu Klíče služby Key Vault v tématu Klíče služby Azure Key Vault, tajné kódy a certifikáty.
Povolit spravovanou identitu prostředku Azure OpenAI
- Přejděte k prostředku Azure OpenAI.
- Na levé straně v části Správa prostředků vyberte Identita.
- Přepněte stav spravované identity přiřazené systémem na Zapnuto nebo přidejte spravovanou identitu přiřazenou uživatelem.
- Uložte změny.
Udělení oprávnění služby Key Vault spravované identitě
Nakonfigurujte příslušná oprávnění pro spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem pro přístup ke službě Key Vault.
- Přejděte do služby Key Vault na webu Azure Portal.
- Vyberte Řízení přístupu (IAM).
- Vyberte + Přidat přiřazení role.
- Přiřaďte roli uživatele šifrování šifrovací služby Key Vault spravované identitě přiřazené systémem nebo přiřazené uživatelem prostředku Azure OpenAI.
Povolte klíče spravované zákazníkem ve vašem prostředku Azure OpenAI
Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:
Přejděte k prostředku Azure OpenAI.
Na levé straně v části Správa prostředků vyberte Šifrování.
V části Typ šifrování vyberte Klíče spravované zákazníkem, jak je znázorněno na následujícím snímku obrazovky.
Zadání klíče
Po povolení klíčů spravovaných zákazníkem můžete zadat klíč, který se má přidružit k prostředku Azure OpenAI.
Zadání klíče jako identifikátoru URI
Chcete-li zadat klíč jako identifikátor URI, postupujte takto:
Na webu Azure Portal přejděte do trezoru klíčů.
V části Objekty vyberte Klíče.
Vyberte požadovaný klíč a pak ho vyberte, pokud chcete zobrazit jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.
Zkopírujte hodnotu Identifikátoru klíče, která poskytuje URI.
Vraťte se k prostředku Azure OpenAI a pak vyberte Šifrování.
V části Šifrovací klíč vyberte Zadat URI klíče.
Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI.
V části Předplatné vyberte předplatné, které obsahuje trezor klíčů.
Uložte změny.
Výběr klíče z trezoru klíčů
Pokud chcete vybrat klíč z trezoru klíčů, nejprve se ujistěte, že máte trezor klíčů, který obsahuje klíč. Poté postupujte následovně:
Přejděte k prostředku Azure OpenAI a pak vyberte Šifrování.
V části Šifrovací klíč zvolte ze služby Key Vault.
Vyberte trezor klíčů obsahující klíč, který chcete použít.
Vyberte klíč, který chcete použít.
Uložte změny.
Aktualizace verze klíče
Když vytvoříte novou verzi klíče, aktualizujte prostředek Azure OpenAI tak, aby používal novou verzi. Postupujte takto:
- Přejděte k prostředku Azure OpenAI a pak vyberte Šifrování.
- Zadejte identifikátor URI pro novou verzi klíče. Případně můžete vybrat trezor klíčů a pak ho znovu vybrat, abyste aktualizovali verzi.
- Uložte změny.
Použití jiného klíče
Pokud chcete změnit klíč, který používáte k šifrování, postupujte takto:
- Přejděte k prostředku Azure OpenAI a pak vyberte Šifrování.
- Zadejte identifikátor URI pro nový klíč. Případně můžete vybrat trezor klíčů a pak vybrat nový klíč.
- Uložte změny.
Rotace klíčů spravovaných zákazníkem
Klíč spravovaný zákazníkem můžete ve službě Key Vault otočit podle zásad dodržování předpisů. Při rotaci klíče je nutné aktualizovat prostředek Azure OpenAI, aby používal novou adresu URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče na webu Azure Portal, najdete v tématu Aktualizace verze klíče.
Otočení klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.
Odvolání klíče spravovaného zákazníkem
Šifrovací klíč spravovaný zákazníkem můžete odvolat změnou zásad přístupu, změnou oprávnění v trezoru klíčů nebo odstraněním klíče.
Pokud chcete změnit zásady přístupu spravované identity, kterou registr používá, spusťte příkaz az-keyvault-delete-policy :
az keyvault delete-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--key_id <key-vault-key-id>
Pokud chcete odstranit jednotlivé verze klíče, spusťte příkaz az-keyvault-key-delete . Tato operace vyžaduje keys/delete oprávnění.
az keyvault key delete \
--vault-name <key-vault-name> \
--id <key-ID>
Důležité
Odvolání přístupu k aktivnímu klíči spravovanému zákazníkem, zatímco cmk je stále povolený, zabrání stahování trénovacích dat a souborů výsledků, vyladění nových modelů a nasazení jemně vyladěných modelů. Dříve nasazené jemně vyladěné modely ale budou dál fungovat a obsluhovat provoz, dokud se tato nasazení nebudou odstraňovat.
Odstranit data trénování, ověřování a výsledky trénování
Rozhraní FILES API umožňuje zákazníkům nahrát trénovací data pro účely vyladění modelu. Data se ukládají ve službě Azure Storage ve stejné oblasti jako prostředek a jsou logicky izolována v rámci jejich předplatného Azure a přihlašovacích údajů API. Nahrané soubory může uživatel odstranit pomocí operace DELETE API.
Odstranění jemně vyladěných modelů a nasazení
Rozhraní API Fine-tunes umožňuje zákazníkům vytvořit vlastní jemně vyladěnou verzi modelů OpenAI na základě trénovacích dat, která jste nahráli do služby prostřednictvím rozhraní API pro soubory. Vytrénované doladěné modely jsou uloženy ve službě Azure Storage ve stejném regionu, kde jsou šifrovány při uložení (buď s klíči spravovanými Microsoftem, nebo klíči spravovanými zákazníkem), a jsou logicky izolovány spolu s přihlašovacími údaji předplatného Azure a pověřeními API. Jemně vyladěné modely a nasazení může uživatel odstranit voláním operace DELETE API.
Zakázání klíčů spravovaných zákazníkem
Když zakážete klíče spravované zákazníkem, prostředek Azure OpenAI se pak zašifruje pomocí klíčů spravovaných Microsoftem. Pokud chcete zakázat klíče spravované zákazníkem, postupujte takto:
- Přejděte k prostředku Azure OpenAI a pak vyberte Šifrování.
- Vyberte spravované klíče Microsoftu>Uložit.
Pokud jste dříve povolili klíče spravované zákazníkem, povolili jste také spravovanou identitu přiřazenou systémem, což je funkce Microsoft Entra ID. Jakmile je řízená identita přidělená systémem povolena, tento prostředek se zaregistruje do Microsoft Entra ID. Po registraci bude spravované identitě udělen přístup k trezoru Key Vault, který byl vybrán během nastavení klíče spravovaného zákazníkem. Můžete se dozvědět více o spravovaných identitách.
Důležité
Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a všechna data zašifrovaná pomocí klíčů zákazníka už nebudou přístupná. Všechny funkce závislé na těchto datech přestanou fungovat.
Důležité
Spravované identity v současné době nepodporují scénáře křížového adresáře. Při konfiguraci klíčů spravovaných zákazníkem na portálu Azure se spravovaná identita automaticky přiřadí v pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo prostředek z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená k prostředku se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Microsoft Entra v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.