Azure OpenAI nei modelli Microsoft Foundry consente la crittografia dei dati inattivi.

Annotazioni

Questo documento fa riferimento al portale di Microsoft Foundry (versione classica).

🔍Per informazioni sul nuovo portale, vedere la documentazione di Microsoft Foundry (nuova).

Azure OpenAI crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud. La crittografia protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Questo articolo illustra in che modo Azure OpenAI gestisce la crittografia dei dati inattivi, in particolare i dati di training e i modelli ottimizzati. Per informazioni su come vengono elaborati, usati e archiviati i dati forniti dall'utente al servizio, vedere l’articolo dati, privacy e sicurezza.

Informazioni sulla crittografia OpenAI di Azure

I dati OpenAI di Azure vengono crittografati e decrittografati usando la crittografia AES a 256 bit conforme a FIPS 140-2. La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestiti per l'utente. I dati sono protetti per impostazione predefinita e non è necessario modificare il codice o le applicazioni per sfruttare la crittografia.

Informazioni sulla gestione delle chiavi di crittografia

Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con le proprie chiavi, dette chiavi gestite dal cliente. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.

Usare le chiavi gestite dal cliente con Azure Key Vault

Le chiavi gestite dal cliente, note anche come Bring Your Own Key (BYOK), offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.

È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare le proprie chiavi e archiviarle in un Key Vault oppure usare le API di Azure Key Vault per generare chiavi. La risorsa Azure OpenAI e il Key Vault devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault.

Per abilitare le chiavi gestite dal cliente, l'insieme di credenziali delle chiavi contenente le chiavi deve soddisfare questi requisiti:

• È necessario abilitare entrambe le proprietà Eliminazione temporanea e Non eliminare definitivamente nel key vault.
• Se si usa il firewall di Key Vault, è necessario consentire ai servizi Microsoft attendibili di accedere al Key Vault.
• Autorizzazioni del Key Vault:
  • Se si usa il controllo degli accessi in base al ruolo di Azure, assegnare il ruolo Utente crittografia servizio crittografia Key Vault all'identità gestita.
  • Se si usano criteri di accesso a Vault, concedere autorizzazioni specifiche della chiave, get, unwrap key e wrap key, all'identità gestita assegnata dal sistema o dall'utente della risorsa Azure OpenAI.

Solo le chiavi RSA e RSA-HSM di dimensione 2048 sono supportate con la crittografia OpenAI di Azure. Per altre informazioni sulle chiavi, vedere Chiavi Key Vault in Informazioni su chiavi, segreti e certificati di Azure Key Vault.

Abilitare l'identità gestita della risorsa OpenAI di Azure

1. Passare alla risorsa OpenAI di Azure.
2. A sinistra, in Gestione risorse, selezionare Identità.
3. Impostare lo stato dell'identità gestita assegnata dal sistema su Sì o aggiungere un'identità gestita assegnata dall'utente.
4. Salvare le modifiche.

Concedere le autorizzazioni di Key Vault all'identità gestita

Configurare le autorizzazioni appropriate per l'identità gestita assegnata dal sistema o assegnata dall'utente per accedere al Key Vault.

1. Vai al Key Vault nel portale di Azure.
2. Seleziona Controllo di accesso (IAM).
3. Selezionare + Aggiungi assegnazione di ruolo.
4. Assegnare il ruolo Utente crittografia servizio crittografia Key Vault all'identità gestita assegnata dal sistema o dall'utente della risorsa Azure OpenAI.

Abilitare le chiavi gestite dal cliente nella risorsa OpenAI di Azure

Per abilitare le chiavi gestite dal cliente nel portale di Azure, seguire questa procedura:

1. Passare alla risorsa OpenAI di Azure.

2. A sinistra, in Gestione risorse, selezionare Crittografia.

3. In Tipo di crittografia selezionare Chiavi gestite dal cliente, come illustrato nello screenshot seguente.

   Screenshot dell'esperienza utente di creazione di una risorsa.

Specificare una chiave

Dopo aver abilitato le chiavi gestite dal cliente, è possibile specificare una chiave da associare alla risorsa OpenAI di Azure.

Specificare una chiave come URI

Per specificare una chiave come URI, seguire questa procedura:

1. Nel portale di Azure, vai al Key Vault.

2. In Oggetti, selezionare Chiavi.

3. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le relative impostazioni.

4. Copiare il valore di Identificatore chiave, che fornisce l'URI.

   

5. Tornare alla risorsa OpenAI di Azure e quindi selezionare Crittografia.

6. In Chiave di crittografiaselezionare Immettere l'URIdella chiave.

7. Incollare l'URI copiato nella casella URI della chiave.

   

8. In Sottoscrizione, selezionare la sottoscrizione che contiene il key vault.

9. Salvare le modifiche.

Seleziona una chiave da un archivio di chiavi

Per selezionare una chiave da un insieme di chiavi, assicurati prima di tutto di avere un insieme di chiavi contenente una chiave. Quindi segui questi passaggi.

1. Passare alla risorsa OpenAI di Azure e quindi selezionare Crittografia.

2. In Chiave di crittografia selezionare Seleziona da Key Vault.

3. Selezionare il key vault che contiene la chiave che desideri utilizzare.

4. Selezionare la chiave da usare.

   

5. Salvare le modifiche.

Aggiornare la versione della chiave

Quando si crea una nuova versione di una chiave, aggiornare la risorsa OpenAI di Azure per usare la nuova versione. Segui questi passaggi:

1. Passare alla risorsa OpenAI di Azure e quindi selezionare Crittografia.
2. Immettere l'URI per la nuova versione della chiave. In alternativa, puoi selezionare il key vault e quindi selezionare di nuovo la chiave per aggiornare la versione.
3. Salvare le modifiche.

Usare una chiave diversa

Per modificare la chiave usata per la crittografia, seguire questa procedura:

1. Passare alla risorsa OpenAI di Azure e quindi selezionare Crittografia.
2. Immettere l'URI per la nuova chiave. In alternativa, è possibile selezionare l'archivio di chiavi e quindi selezionare una nuova chiave.
3. Salvare le modifiche.

Ruotare le chiavi gestite dal cliente

È possibile ruotare una chiave gestita dal cliente in Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa OpenAI di Azure per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nel portale di Azure, vedere Aggiornare la versione della chiave.

La rotazione della chiave non attiva la ri-crittografia dei dati nella risorsa. Non è necessaria alcuna azione da parte dell’utente.

Revocare una chiave gestita dal cliente

È possibile revocare una chiave di crittografia gestita dal cliente modificando i criteri di accesso, modificando le autorizzazioni nell'insieme di credenziali delle chiavi o eliminando la chiave.

Per modificare i criteri di accesso dell'identità gestita usata dal Registro di sistema, eseguire il comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Per eliminare le singole versioni di una chiave, eseguire il comando az-keyvault-key-delete. Questa operazione richiede l'autorizzazione chiavi/elimina.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>                     

Importante

La revoca dell'accesso a una chiave attiva gestita dal cliente (CMK) mentre è ancora abilitata impedirà il download dei file di dati di addestramento e dei risultati, l'aggiustamento dei nuovi modelli e la distribuzione dei modelli adattati. Tuttavia, i modelli ottimizzati distribuiti in precedenza continueranno a funzionare e a gestire il traffico fino a quando tali distribuzioni non saranno eliminate.

Eliminare i dati relativi ad addestramento, convalida e risultati di addestramento.

Il file API consente ai clienti di caricare i dati di training allo scopo di ottimizzare un modello. Questi dati vengono archiviati in Archiviazione di Azure, all'interno della stessa area della risorsa e isolati logicamente con la sottoscrizione di Azure e le credenziali API. I file caricati possono essere eliminati dall'utente tramite l'operazione dell'API DELETE.

Eliminare modelli ottimizzati e distribuzioni

L’API di ottimizzazione consente ai clienti di creare la propria versione ottimizzata dei modelli OpenAI in base ai dati di training caricati nel servizio tramite il file API. I modelli sottoposti a training vengono archiviati in Archiviazione di Azure nella stessa area, crittografati inattivi (con chiavi gestite da Microsoft o gestite dal cliente) e isolati logicamente con la sottoscrizione di Azure e le credenziali API. I modelli e le distribuzioni ottimizzati possono essere eliminati dall'utente chiamando l'operazione DELETE API.

Disabilitare le chiavi gestite dal cliente

Quando si disabilitano le chiavi gestite dal cliente, la risorsa OpenAI di Azure viene quindi crittografata con chiavi gestite da Microsoft. Per disabilitare le chiavi gestite dal cliente, seguire questa procedura:

1. Passare alla risorsa OpenAI di Azure e quindi selezionare Crittografia.
2. Selezionare chiavi gestite da Microsoft>Salva.

Se in precedenza sono state abilitate le chiavi gestite dal cliente, è stata abilitata anche un'identità gestita assegnata dal sistema, una funzionalità di Microsoft Entra ID. Dopo aver abilitato l'identità gestita assegnata dal sistema, questa risorsa verrà registrata in Microsoft Entra ID. Dopo la registrazione, all'identità gestita verrà concesso l'accesso al Key Vault selezionato durante la configurazione della chiave gestita dal cliente. Vedere altre informazioni sulle identità gestite.

Importante

Se si disabilitano le identità gestite assegnate automaticamente dal sistema, l'accesso al Key Vault verrà rimosso e gli eventuali dati crittografati con le chiavi del cliente non saranno più accessibili. Tutte le funzionalità dipendenti da questi dati smetteranno di funzionare.

Importante

Le identità gestite attualmente non supportano gli scenari tra directory. Quando si configurano le chiavi gestite dal cliente nel portale di Azure, viene assegnata automaticamente un'identità gestita in modo discreto. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory di Microsoft Entra a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory di Microsoft Entra in Domande frequenti e problemi noti nell'uso di identità gestite per le risorse di Azure.

Passaggi successivi

• Altre informazioni su Azure Key Vault