Partage via


Clés gérées par le client pour le chiffrement

Azure AI s’appuie sur plusieurs services Azure. Tandis que les données client sont stockées de manière sécurisée à l’aide de clés de chiffrement fournies par défaut par Microsoft, vous pouvez améliorer votre sécurité en fournissant vos propres clés (gérées par le client). Les clés que vous fournissez sont stockées de manière sécurisée dans Azure Key Vault.

Prérequis

  • Un abonnement Azure.
  • Une instance Azure Key Vault. Le coffre de clés contient les clés utilisées pour chiffrer vos services.
    • L’instance du coffre de clés doit activer la suppression réversible et la protection de purge.
    • L’identité managée utilisée pour les services sécurisés par une clé gérée par le client doit disposer des autorisations suivantes dans le coffre de clés :
      • Inclure la clé
      • Ne pas inclure la clé
      • get

En quoi consistent les clés gérées par le client ?

Par défaut, Microsoft crée et gère vos ressources dans un abonnement Azure appartenant à Microsoft et utilise une clé gérée par Microsoft pour chiffrer les données.

Quand vous utilisez une clé gérée par le client, ces ressources résident dans votre abonnement Azure et sont chiffrées avec votre propre clé. Bien qu’elles existent dans votre abonnement, ces ressources sont toujours gérées par Microsoft. Elles sont automatiquement créées et configurées quand vous créez votre ressource Azure AI.

Ces ressources gérées par Microsoft se trouvent dans un nouveau groupe de ressources Azure créé dans votre abonnement. Ce groupe de ressources existe en plus du groupe de ressources de votre projet. Il contient les ressources gérées par Microsoft avec lesquelles votre clé est utilisée. Le groupe de ressources est nommé à l’aide de la formule <Azure AI resource group name><GUID>. Il n’est pas possible de modifier l’affectation des noms des ressources dans ce groupe de ressources managées.

Conseil

Si votre ressource AI utilise un point de terminaison privé, ce groupe de ressources contient également un réseau virtuel Azure géré par Microsoft. Ce réseau virtuel est utilisé pour sécuriser les communications entre les services gérés et le projet. Vous ne pouvez pas fournir votre propre réseau virtuel pour l’utiliser avec les ressources gérées par Microsoft. Vous ne pouvez pas non plus modifier le réseau virtuel. Par exemple, vous ne pouvez pas modifier la plage d’adresses IP qu’elle utilise.

Important

Si votre abonnement ne dispose pas d’un quota suffisant pour ces services, une défaillance se produit.

Important

Quand vous utilisez une clé gérée par le client, les coûts de votre abonnement sont plus élevés car ces ressources se trouvent dans votre abonnement. Pour estimer les coûts, utilisez la calculatrice de prix Azure.

Avertissement

Ne supprimez pas le groupe de ressources managé ni les ressources créées automatiquement dans ce groupe. Si vous avez besoin de supprimer le groupe de ressources ou les services gérés par Microsoft qu’il contient, vous devez supprimer les ressources Azure AI qui l’utilisent. Les ressources incluses dans le groupe de ressources sont supprimées quand la ressource AI associée est supprimée.

Activer des clés gérées par le client

Le processus d’activation des clés gérées par le client avec Azure Key Vault pour Azure AI services varie d’un produit à l’autre. Utilisez les liens ci-après pour obtenir des instructions propres au service :

Mode de stockage des données de calcul

Azure AI utilise des ressources pour l’instance de calcul et le calcul serverless quand vous affinez des modèles ou générez des flux. Le tableau suivant décrit les options de calcul et la façon dont les données sont chiffrées par chacune d’elles :

Calcul Chiffrement
Instance de calcul Le disque de travail local est chiffré.
Calcul serverless Le disque du système d’exploitation est chiffré dans Stockage Azure avec des clés gérées par Microsoft. Le disque temporaire est chiffré.

Instance de calcul : le disque de système d’exploitation de l’instance de calcul est chiffré à l’aide de clés gérées par Microsoft dans les comptes de stockage gérés par Microsoft. Si le projet a été créé avec le paramètre hbi_workspace défini sur TRUE, le disque temporaire local situé sur l’instance de calcul est chiffré à l’aide de clés gérées par Microsoft. Le chiffrement à l’aide de clés gérés par le client n’est pas pris en charge pour le système d’exploitation et le disque temporaire.

Calcul serverless Le disque de système d’exploitation de chaque nœud de calcul stocké dans Stockage Azure est chiffré à l’aide de clés gérées par Microsoft. Cette cible de calcul est éphémère et les clusters font généralement l’objet d’un scale-down quand aucune tâche n’est placée en file d’attente. La machine virtuelle sous-jacente est déprovisionnée et le disque de système d’exploitation supprimé. Azure Disk Encryption n’est pas pris en charge pour le disque de système d’exploitation.

Chaque machine virtuelle dispose également d’un disque temporaire local pour les opérations de système d’exploitation. Si vous le souhaitez, vous pouvez utiliser le disque pour indexer les données d’entraînement. Cet environnement ne perdure que pendant la durée de votre tâche et la prise en charge du chiffrement est limitée aux clés gérées par le système uniquement.

Limites

  • Les clés de chiffrement ne passent pas de la ressource Azure AI aux ressources dépendantes, notamment Azure AI Services et Stockage Azure, lorsqu’elles sont configurées sur la ressource Azure AI. Vous devez définir le chiffrement spécifiquement sur chaque ressource.
  • La clé gérée par le client pour le chiffrement ne peut être mise à jour que sur des clés dans la même instance Azure Key Vault.
  • Après le déploiement, vous ne pouvez pas passer des clés gérées par Microsoft aux clés gérées par le client ou inversement.
  • Les ressources créées dans le groupe de ressources Azure géré par Microsoft dans votre abonnement ne peuvent pas être modifiées ou fournies par vous au moment de la création en tant que ressources existantes.
  • Vous ne pouvez pas supprimer les ressources gérées par Microsoft utilisées pour les clés gérées par le client sans supprimer également votre projet.