Kunci yang dikelola pelanggan untuk enkripsi
Azure AI dibangun di atas beberapa layanan Azure. Meskipun data pelanggan disimpan dengan aman menggunakan kunci enkripsi yang disediakan Microsoft secara default, Anda dapat meningkatkan keamanan Anda dengan menyediakan kunci Anda sendiri (dikelola pelanggan). Kunci yang Anda berikan disimpan dengan aman di Azure Key Vault.
Prasyarat
- Langganan Azure.
- Instans Azure Key Vault. Brankas kunci berisi kunci yang digunakan untuk mengenkripsi layanan Anda.
- Instans brankas kunci harus mengaktifkan perlindungan terhadap penghapusan sementara dan penghapusan menyeluruh.
- Identitas terkelola untuk layanan yang diamankan oleh kunci yang dikelola pelanggan harus memiliki izin berikut di brankas kunci:
- kunci bungkus
- kunci buka bungkus
- get
Apa itu kunci yang dikelola pelanggan?
Secara default, Microsoft membuat dan mengelola sumber daya Anda dalam langganan Azure milik Microsoft dan menggunakan kunci yang dikelola Microsoft untuk mengenkripsi data.
Saat Anda menggunakan kunci yang dikelola pelanggan, sumber daya ini berada di langganan Azure Anda dan dienkripsi dengan kunci Anda sendiri. Meskipun ada di langganan Anda, sumber daya ini masih dikelola oleh Microsoft. Mereka secara otomatis dibuat dan dikonfigurasi saat Anda membuat sumber daya Azure AI Anda.
Sumber daya yang dikelola Microsoft ini terletak di grup sumber daya Azure baru yang dibuat di langganan Anda. Grup sumber daya ini ada selain grup sumber daya untuk proyek Anda. Ini berisi sumber daya yang dikelola Microsoft yang digunakan kunci Anda. Grup sumber daya diberi nama menggunakan rumus <Azure AI resource group name><GUID>. Tidak dimungkinkan untuk mengubah penamaan sumber daya dalam grup sumber daya terkelola ini.
Tip
Jika sumber daya AI Anda menggunakan titik akhir privat, grup sumber daya ini juga akan berisi Azure Virtual Network yang dikelola Microsoft. VNet ini digunakan untuk mengamankan komunikasi antara layanan terkelola dan proyek. Anda tidak dapat menyediakan VNet Anda sendiri untuk digunakan dengan sumber daya yang dikelola Microsoft. Anda juga tidak dapat mengubah jaringan virtual. Misalnya, Anda tidak dapat mengubah rentang alamat IP yang digunakannya.
Penting
Jika langganan Anda tidak memiliki kuota yang cukup untuk layanan ini, kegagalan akan terjadi.
Penting
Saat menggunakan kunci yang dikelola pelanggan, biaya untuk langganan Anda akan lebih tinggi karena sumber daya ini ada dalam langganan Anda. Untuk memperkirakan biaya, gunakan Kalkulator harga Azure.
Peringatan
Jangan hapus grup sumber daya terkelola salah satu sumber daya yang dibuat secara otomatis dalam grup ini. Jika Anda perlu menghapus grup sumber daya atau layanan yang dikelola Microsoft di dalamnya, Anda harus menghapus sumber daya Azure AI yang menggunakannya. Sumber daya grup sumber daya dihapus saat sumber daya AI terkait dihapus.
Aktifkan kunci yang dikelola pelanggan
Proses untuk mengaktifkan kunci yang dikelola pelanggan dengan Azure Key Vault untuk layanan Azure AI bervariasi menurut produk. Gunakan tautan ini untuk instruksi khusus layanan:
- Azure OpenAI
- Visi Kustom Azure
- Azure AI Face Service
- Azure AI Document Intelligence
- Penerjemah Azure AI
- Layanan Bahasa Azure AI
- Ucapan Azure AI
- Moderator Konten Azure
- Azure Personalizer
Cara data komputasi disimpan
Azure AI menggunakan sumber daya untuk instans komputasi dan komputasi tanpa server saat Anda menyempurnakan model atau alur build. Tabel berikut menjelaskan opsi komputasi dan cara data dienkripsi oleh masing-masing:
| Compute | Enkripsi |
|---|---|
| Hitung intance | Disk awal lokal dienkripsi. |
| Komputasi tanpa server | Disk OS dienkripsi dalam Azure Storage dengan kunci yang dikelola Microsoft. Disk sementara dienkripsi. |
Instans komputasi Disk OS untuk instans komputasi dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan yang dikelola Microsoft. Jika proyek dibuat dengan parameter yang hbi_workspace diatur ke TRUE, disk sementara lokal pada instans komputasi dienkripsi dengan kunci terkelola Microsoft. Enkripsi kunci yang dikelola pelanggan tidak didukung untuk OS dan disk sementara.
Komputasi tanpa server Disk OS untuk setiap simpul komputasi yang disimpan di Azure Storage dienkripsi dengan kunci yang dikelola Microsoft. Target komputasi ini bersifat sementara, dan kluster biasanya menurunkan skala ketika tidak ada pekerjaan yang mengantre. Komputer virtual yang mendasarinya dibatalkan provisinya, dan disk OS dihapus. Azure Disk Encryption tidak didukung untuk disk OS.
Setiap komputer virtual juga memiliki disk sementara lokal untuk operasi OS. Jika mau, Anda dapat menggunakan disk untuk menggelar data pelatihan. Lingkungan ini berumur pendek (hanya selama Anda menjalankannya) dan dukungan enkripsi hanya terbatas pada kunci yang dikelola sistem.
Batasan
- Kunci enkripsi tidak diturunkan dari sumber daya Azure AI ke sumber daya dependen termasuk Azure AI Services dan Azure Storage saat dikonfigurasi pada sumber daya Azure AI. Anda harus mengatur enkripsi khusus pada setiap sumber daya.
- Kunci yang dikelola pelanggan untuk enkripsi hanya dapat diperbarui ke kunci dalam instans Azure Key Vault yang sama.
- Setelah penyebaran, Anda tidak dapat beralih dari kunci yang dikelola Microsoft ke kunci yang dikelola pelanggan atau sebaliknya.
- Sumber daya yang dibuat di grup sumber daya Azure yang dikelola Microsoft dalam langganan Anda tidak dapat dimodifikasi oleh Anda atau disediakan oleh Anda pada saat pembuatan sebagai sumber daya yang ada.
- Anda tidak dapat menghapus sumber daya yang dikelola Microsoft yang digunakan untuk kunci yang dikelola pelanggan tanpa juga menghapus proyek Anda.
Konten terkait
- Formulir Permintaan Kunci yang Dikelola Pelanggan layanan Azure AI masih diperlukan untuk Moderator Ucapan dan Konten.
- Apa itu Azure Key Vault?