Vom Kunden verwaltete Schlüssel für die Verschlüsselung
Azure KI wurde auf der Grundlage mehrerer Azure-Dienste erstellt. Während die Daten mithilfe der von Microsoft verwendeten Verschlüsselungsschlüssel sicher gespeichert werden, können Sie die Sicherheit erhöhen, indem Sie Ihre eigenen (kundenseitig verwalteten) Schlüssel bereitstellen. Die von Ihnen bereitgestellten Schlüssel werden mithilfe von Azure Key Vault sicher gespeichert.
Voraussetzungen
Ein Azure-Abonnement.
Eine Azure Key Vault-Instanz. Der Schlüsseltresor enthält die Schlüssel, die zum Verschlüsseln Ihrer Dienste verwendet werden.
Die Key Vault-Instanz muss den Schutz vor vorläufigem und endgültigem Löschen aktivieren.
Die verwaltete Identität für die Dienste, die durch einen kundenseitig verwalteten Schlüssel gesichert sind, muss über die folgenden Berechtigungen in Key Vault verfügen:
- Schlüssel packen
- Schlüssel entpacken
- get
Beispielsweise müsste die verwaltete Identität für Azure Cosmos DB über diese Berechtigungen für den Schlüsseltresor verfügen.
Wie Metadaten gespeichert werden
Die folgenden Dienste werden von Azure K verwendet, um Metadaten für Ihre Azure KI-Ressource und -Projekte zu speichern:
| Dienst | Verwendungszweck | Beispiel |
|---|---|---|
| Azure Cosmos DB | Speichert Metadaten für Ihre Azure KI-Projekte und -Tools | Zeitstempel für die Flowerstellung, Bereitstellungstags, Auswertungsmetriken |
| Azure KI-Suche | Speichert Indizes, die verwendet werden, um Ihre KI Studio-Inhalte abzufragen. | Ein auf ihren Modellimplementierungsnamen basierender Index |
| Azure Storage-Konto | Speichert Artefakte, die von Azure KI-Projekten und -Tools erstellt wurden | Optimierte Modelle |
Alle oben genannten Dienste werden mit demselben Schlüssel verschlüsselt, wenn Sie Ihre Azure KI-Ressource zum ersten Mal erstellen und in einer verwalteten Ressourcengruppe in Ihrem Abonnement einmal für jede Azure KI-Ressource und jede zugeordnete Gruppe von Projekten eingerichtet werden. Ihre Azure KI-Ressource und -Projekte lesen und schreiben Daten mithilfe einer verwalteten Identität. Verwalteten Identitäten wird mit einer Rollenzuweisung (rollenbasierte Zugriffssteuerung in Azure) Zugriff auf die Ressourcen für die Datenressourcen gewährt. Der von Ihnen verwendete Verschlüsselungsschlüssel wird zum Verschlüsseln von Daten verwendet, die auf von Microsoft verwalteten Ressourcen gespeichert sind. Sie werden auch zum Erstellen von Indizes für die Azure KI-Suche verwendet. Die Indizes werden zur Laufzeit erstellt.
Vom Kunden verwaltete Schlüssel
Wenn Sie keinen kundenseitig verwalteten Schlüssel verwenden, erstellt und verwaltet Microsoft diese Ressourcen in einem Microsoft-eigenen Azure-Abonnement und verwendet einen von Microsoft verwalteten Schlüssel zum Verschlüsseln der Daten.
Wenn Sie einen kundenseitig verwalteten Schlüssel verwenden, befinden sich diese Ressourcen in Ihrem Azure-Abonnement und sie werden mit Ihrem Schlüssel verschlüsselt. Obwohl sie in Ihrem Abonnement vorhanden sind, werden diese Ressourcen von Microsoft verwaltet. Sie werden automatisch erstellt und konfiguriert, wenn Sie Ihren Azure KI-Ressource erstellen.
Wichtig
Wenn Sie einen kundenseitig verwalteten Schlüssel verwenden, sind die Kosten für Ihr Abonnement aufgrund dieser Ressourcen in Ihrem Abonnement höher. Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.
Diese von Microsoft verwalteten Ressourcen befinden sich in einer neuen Azure-Ressourcengruppe, die in Ihrem Abonnement erstellt wird. Diese Gruppe wird zusätzlich zur Ressourcengruppe für Ihr Projekt erstellt. Diese Ressourcengruppe enthält die von Microsoft verwalteten Ressourcen, mit denen Ihr Schlüssel verwendet wird. Die Ressourcengruppe ist anhand der Formel <Azure AI resource group name><GUID> benannt. Es ist nicht möglich, die Namen der Ressourcen in dieser verwalteten Ressourcengruppe zu ändern.
Tipp
- Die Anforderungseinheiten für die Azure Cosmos DB-Instanz werden bei Bedarf automatisch skaliert.
- Wenn Ihre Azure KI-Ressource einen privaten Endpunkt verwendet, enthält diese Ressourcengruppe auch ein von Microsoft verwaltetes virtuelles Azure-Netzwerk. Dieses VNet wird verwendet, um die Kommunikation zwischen den verwalteten Diensten und dem Projekt zu sichern. Sie können kein eigenes VNet für die Verwendung mit den von Microsoft verwalteten Ressourcen bereitstellen. Außerdem können Sie das virtuelle Netzwerk nicht ändern. Beispielsweise können Sie den verwendeten IP-Adressbereich nicht ändern.
Wichtig
Wenn Ihr Abonnement nicht über ein ausreichendes Kontingent für diese Dienste verfügt, tritt ein Fehler auf.
Warnung
Löschen Sie weder die verwaltete Ressourcengruppe, die diese Azure Cosmos DB-Instanz enthält, noch Ressourcen, die automatisch in dieser Gruppe erstellt wurden. Wenn Sie die Ressourcengruppe oder darin enthaltene von Microsoft verwaltete Dienste löschen müssen, müssen Sie die Azure KI-Ressourcen, die diese verwendet, löschen. Die Ressourcengruppenressourcen werden gelöscht, wenn die zugehörige KI Ressource gelöscht wird.
Der Prozess zum Aktivieren von kundenseitig verwalteten Schlüsseln mit Azure Key Vault für Azure KI Services variiert je nach Produkt. Unter den folgenden Links finden Sie dienstspezifische Anweisungen:
- Azure OpenAI-Verschlüsselung ruhender Daten
- Custom Vision-Verschlüsselung für ruhende Daten
- Verschlüsselung für ruhende Daten der Gesichtserkennungsdienste
- Dokument Intelligenz – Verschlüsselung ruhender Daten
- Verschlüsselung für ruhende Daten des Übersetzers
- Verschlüsselung für ruhende Daten des Sprachdiensts
- Verschlüsselung für ruhende Daten des Speech-Diensts
- Content Moderator-Verschlüsselung für ruhende Daten
- Verschlüsselung für ruhende Daten der Personalisierung
Speichern von Computedaten
Azure KI verwendet Computeressourcen für die Compute-Instanz und serverloses Computing, wenn Sie Flows optimieren oder erstellen. In der folgenden Tabelle werden die Computeoptionen und die Art und Weise beschrieben, wie Daten jeweils verschlüsselt werden:
| Compute | Verschlüsselung |
|---|---|
| Compute-Instanz | Der lokale Datenträger wird verschlüsselt. |
| Serverloses Computing | Betriebssystemdatenträger, der in Azure Storage mit von Microsoft verwalteten Schlüsseln verschlüsselt ist. Der temporäre Datenträger wird verschlüsselt. |
Compute-Instanz: Der Betriebssystemdatenträger für die Compute-Instanz wird mit von Microsoft verwalteten Schlüsseln in Microsoft-verwalteten Speicherkonten verschlüsselt. Wenn bei der Erstellung des Projekts der Parameter hbi_workspace auf TRUE festgelegt war, wird der lokale temporäre Datenträger auf der Compute-Instanz mit von Microsoft verwalteten Schlüsseln verschlüsselt. Die Verschlüsselung mit kundenseitig verwalteten Schlüsseln wird für Betriebssystem- und temporäre Datenträger nicht unterstützt.
Serverloses Computing Der Betriebssystem-Datenträger für jeden in Azure Storage gespeicherten Computeknoten wird mit von Microsoft verwalteten Schlüsseln verschlüsselt. Dieses Computeziel ist kurzlebig, und Cluster werden in der Regel zentral herunterskaliert, wenn keine Aufträge in der Warteschlange stehen. Die Bereitstellung des zugrunde liegenden virtuellen Computers wird aufgehoben, und der Betriebssystem-Datenträger wird gelöscht. Azure Disk Encryption wird für den Betriebssystem-Datenträger nicht unterstützt.
Jeder virtuelle Computer verfügt auch über einen lokalen temporären Datenträger für Betriebssystem-Vorgänge. Wenn Sie möchten, können Sie den Datenträger zum Bereitstellen von Trainingsdaten verwenden. Diese Umgebung ist kurzlebig (auf die Dauer Ihres Auftrags befristet), und die Unterstützung für die Verschlüsselung beschränkt sich auf systemseitig verwaltete Schlüssel.
Begrenzungen
- Verschlüsselungsschlüssel werden nicht von der Azure KI-Ressource an abhängige Ressourcen wie Azure KI Services und Azure Storage weitergegeben, wenn sie auf der Azure KI-Ressource konfiguriert sind. Sie müssen die Verschlüsselung speziell für jede Ressource festlegen.
- Der vom Kunden verwaltete Schlüssel für die Verschlüsselung kann nur auf Schlüssel in derselben Azure Key Vault-Instanz aktualisiert werden.
- Nach der Bereitstellung können Sie nicht von Microsoft-verwalteten Schlüsseln zu Kunden-verwalteten Schlüsseln wechseln oder umgekehrt.
- Ressourcen, die in der von Microsoft verwalteten Azure-Ressourcengruppe in Ihrem Abonnement erstellt werden, können von Ihnen nicht geändert oder zum Zeitpunkt der Erstellung als vorhandene Ressourcen bereitgestellt werden.
- Sie können von Microsoft verwaltete Ressourcen, die für kundenseitig verwaltete Schlüssel verwendet werden, nicht löschen, ohne auch Ihr Projekt zu löschen.
Nächste Schritte
- Formular zum Anfordern von kundenseitig verwalteten Schlüsseln für Azure KI Services ist für Sprach- und Inhaltsmoderator weiterhin erforderlich.
- Was ist der Azure-Schlüsseltresor?