Partager via

Clés gérées par le client pour le chiffrement avec Azure AI Foundry

Les clés gérées par le client (CMK) dans le portail Azure AI Foundry offrent un contrôle amélioré sur le chiffrement de vos données. L’utilisation des CMK vous permet de gérer vos propres clés de chiffrement pour ajouter une couche supplémentaire de protection et de répondre plus efficacement aux exigences de conformité.

À propos du chiffrement dans Azure AI Foundry

Azure AI Foundry est un service dans le cloud Microsoft Azure. Par défaut, les services utilisent des clés de chiffrement gérées par Microsoft pour chiffrer les données en transit et au repos.

Les ressources de projet hub et hub sont des implémentations de l’espace de travail Azure Machine Learning et chiffrent les données en transit et au repos. Pour plus d’informations, consultez l’article Chiffrement des données avec Azure Machine Learning.

Les données sont chiffrées et déchiffrées à l'aide du chiffrement AES 256 bits certifié FIPS 140-2. Le chiffrement et le déchiffrement sont transparents, ce qui signifie que le chiffrement et l’accès sont gérés automatiquement. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement.

Stockage de données chiffrées lors de l’utilisation de clés gérées par le client

Le chiffrement de clé gérée par le client peut être activé lors de la création de ressources via le portail Azure ou les options de modèle. Les données chiffrées sont stockées côté service sur les ressources gérées par Microsoft à l’aide de votre clé de chiffrement.

Remarque

En raison du modèle d’hébergement dédié pour certains services lors de l’utilisation de données chiffrées par clé gérée par le client, des frais supplémentaires peuvent s’appliquer.

Remarque

Lorsque vous utilisez le chiffrement côté serveur, les frais Azure continueront à s’accumuler pendant la période de rétention de suppression réversible.

Stockage côté service des données chiffrées lors de l’utilisation de clés gérées par le client avec ai hub

Deux options d’architecture sont disponibles lors de l’utilisation de clés gérées par le client :

  • Les données chiffrées sont stockées dans l’abonnement Microsoft (recommandé)

    Les données sont stockées côté service sur les ressources gérées par Microsoft au lieu de ressources gérées dans votre abonnement. Les métadonnées sont stockées dans des ressources multilocataire en utilisant le chiffrement CMK au niveau du document. Une instance Recherche Azure AI est hébergée sur le côté Microsoft par client et pour chaque hub.

  • Les données chiffrées sont stockées dans votre abonnement

    Les données sont stockées dans votre abonnement à l’aide d’un groupe de ressources géré par Microsoft qui inclut un compte de stockage Azure, une ressource Azure Cosmos DB et azure AI Search. La configuration de ces ressources ne peut pas être modifiée. Les modifications apportées à ses configurations ne sont pas prises en charge.

    Tous les projets utilisant le même hub stockent les données sur les ressources d’un groupe de ressources managé identifié par le nom azureml-rg-hubworkspacename_GUID. Les projets utilisent l’authentification Microsoft Entra ID lors de l’interaction avec ces ressources. Si votre hub est un point de terminaison de liaison privée, l’accès du réseau aux ressources managées est limité. Le groupe de ressources managé est supprimé quand le hub est supprimé.

    Les données suivantes sont stockées sur les ressources managées.

    Service Champ d’utilisation Exemple :
    Base de données Azure Cosmos DB Stocke les métadonnées de vos projets et outils Azure AI Noms d’index, balises, horodatages de création de flux, balises de déploiement, métriques d’évaluation
    Recherche d’IA Azure Stocke les index utilisés pour interroger votre contenu Azure AI Foundry. Index basé sur les noms de déploiement de votre modèle
    Compte de stockage Azure Permet de stocker les instructions sur la façon dont les tâches de personnalisation sont orchestrées Représentation JSON des flux que vous créez dans le portail Azure AI Foundry

Utiliser des clés gérées par le client avec Azure Key Vault

Vous devez utiliser Azure Key Vault pour stocker vos clés managées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. La ressource Azure AI services et le coffre de clés doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.

  • Vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés.
  • Si vous utilisez le pare-feu Key Vault, vous devez autoriser les services Microsoft approuvés à accéder au coffre de clés.
  • Vous devez accorder à l'identité managée assignée par le système de votre projet Foundry les permissions suivantes sur votre coffre de clés : récupérer la clé, envelopper la clé, dénvelopper la clé.

Vous devez utiliser Azure Key Vault pour stocker vos clés managées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. La ressource Azure AI Services et le Key Vault doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.

Pour activer les clés gérées par le client, le coffre de clés contenant vos clés doit répondre à ces spécifications :

  • Vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés.
  • Si vous utilisez le pare-feu Key Vault, vous devez autoriser les services Microsoft approuvés à accéder au coffre de clés.
  • Vous devez octroyer à l’identité managée affectée par le système de la ressource de votre ressource Azure AI Services et de votre hub les autorisations suivantes sur votre coffre de clés : get key, wrap key, unwrap key.

Les limitations suivantes s’appliquent à Azure AI Foundry :

  • Seule la solution Azure Key Vault avec des stratégies d’accès héritées est prise en charge.
  • Seules des clés RSA et RSA-HSM de taille 2048 sont prises en charge avec le chiffrement Azure AI services. Pour plus d’informations sur les clés, consultez Clés Key Vault dans À propos des clés, des secrets et des certificats Azure Key Vault.
  • Les mises à jour des clés gérées par le client vers les clés gérées par Microsoft ne sont actuellement pas prises en charge pour les sous-ressources du projet. Les projets continuent de référencer vos clés de chiffrement si elles sont mises à jour.

Activer l’identité managée de votre ressource Azure AI Foundry

L’identité managée doit être activée comme condition préalable à l’utilisation de clés gérées par le client.

  1. Accédez à votre ressource Azure AI Foundry dans le portail Azure.
  2. Sur la gauche, sous Gestion des ressources, sélectionnez Identité.
  3. Faites basculer l’état de l’identité managée affectée par le système sur Activé.
  4. Enregistrez vos modifications et confirmez votre volonté d’activer l’identité managée affectée par le système.

Activer des clés gérées par le client

Le chiffrement de clé gérée par le client est configuré via le Portail Azure de façon similaire à chaque ressource Azure :

Important

Azure Key Vault utilisé pour le chiffrement doit se trouver dans le même groupe de ressources que le projet AI Foundry. Les coffres de clés dans d’autres groupes de ressources ne sont actuellement pas pris en charge par les assistants de déploiement ou les flux de travail de configuration de projet.

  1. Créez une ressource Azure AI Foundry dans le portail Azure.

  2. Sous l’onglet Chiffrement , sélectionnez Clé gérée par le client, Sélectionnez coffre et clé, puis sélectionnez le coffre de clés et la clé à utiliser.

    Capture d’écran de l’onglet chiffrement d’un projet AI Foundry avec l’option pour la clé gérée par le client sélectionnée.

  3. Continuez à créer votre ressource normalement.

Limites

  • La clé gérée par le client pour le chiffrement ne peut être mise à jour que sur des clés dans la même instance Azure Key Vault.
  • Après le déploiement, votre projet Foundry ne peut pas passer des clés gérées par Microsoft aux clés gérées par le client ou inversement.
  • Les frais Azure pour la ressource AI Foundry continueront à s’accumuler pendant la période de rétention de suppression réversible. Les frais pour les projets ne continuent pas à s’accumuler pendant la période de rétention de suppression réversible.

Azure AI Foundry s’appuie sur un hub comme implémentation d’un espace de travail Azure Machine Learning, d’Azure AI Services et vous permet de vous connecter à d’autres ressources dans Azure. Vous devez définir le chiffrement spécifiquement sur chaque ressource.

Le chiffrement de clé gérée par le client est configuré via le Portail Azure de façon similaire à chaque ressource Azure :

  1. Créez une ressource dans le Portail Azure.

  2. Sous l’onglet de chiffrement, sélectionnez votre clé de chiffrement.

    Capture d’écran de l’onglet Chiffrement avec l’option de chiffrement côté service sélectionnée.

Vous pouvez également utiliser des options infrastructure en tant que code pour l’automatisation. Un exemple des modèles Bicep pour Azure AI Foundry est disponible sur le référentiel Démarrage rapide Azure :

  1. Chiffrement CMK pour un hub.
  2. Préversion de chiffrement CMK côté service pour un hub.

Limites

  • La clé gérée par le client pour le chiffrement ne peut être mise à jour que sur des clés dans la même instance Azure Key Vault.
  • Après le déploiement, les hubs ne peuvent pas basculer des clés gérées par Microsoft aux clés gérées par le client ou inversement.
  • Le formulaire de requête de clé gérée par le client Azure AI Foundry est requis pour utiliser les clés gérées par le client en combinaison avec les fonctionnalités Azure Speech et Content Moderator.
  • Le formulaire de demande de clé Azure AI Foundry Customer-Managed est toujours requis pour la synthèse vocale et le modérateur de contenu.
  • Si votre ressource AI Foundry est dans un état de suppression logicielle (#preview-service-side-storage-of-encrypted-data-when-using-customer-managed-keys), tous les frais Azure supplémentaires continueront de s’accumuler pendant la période de conservation de la suppression logicielle.

Contenu connexe