Prendere in considerazione l'autenticazione

  • 5 minuti

Per impostazione predefinita, l'accesso alle risorse dei Servizi di Azure AI è limitato tramite chiavi di sottoscrizione. La gestione dell'accesso a queste chiavi è una considerazione fondamentale per la sicurezza.

Rigenerare le chiavi

È consigliabile rigenerare regolarmente le chiavi proteggersi dal rischio che le chiavi vengano condivise con utenti non autorizzati o siano accessibili dagli stessi. È possibile rigenerare le chiavi usando l'interfaccia visiva nel portale di Azure o il comando dell'interfaccia della riga di comando di Azure az cognitiveservices account keys regenerate.

Ogni servizio di Azure AI viene fornito con due chiavi, che consentono di rigenerare le chiavi senza interruzione del servizio. A tale scopo:

  1. Configurare tutte le applicazioni di produzione per usare la chiave 2.
  2. Rigenerare la chiave 1.
  3. Impostare tutte le applicazioni di produzione in modo da usare la chiave 1 appena rigenerata.
  4. Rigenerare la chiave 2.

Proteggere le chiavi con Azure Key Vault

Azure Key Vault è un servizio di Azure in cui è possibile archiviare in modo sicuro i segreti, ad esempio password e chiavi. L'accesso all'insieme di credenziali delle chiavi viene concesso a entità di sicurezza, che è possibile considerare le identità utente autenticate usando l'ID Microsoft Entra. Gli amministratori possono assegnare un'entità di sicurezza a un'applicazione (nel qual caso è nota come entità servizio) per definire un'identità gestita per l'applicazione. L'applicazione può quindi usare questa identità per accedere all'insieme di credenziali delle chiavi e recuperare un segreto a cui ha accesso. Il controllo dell'accesso al segreto in questo modo riduce al minimo il rischio che venga compromesso dall'essere hard-coded in un'applicazione o salvato in un file di configurazione.

È possibile archiviare le chiavi di sottoscrizione per una risorsa dei Servizi di Azure AI in Azure Key Vault e assegnare un'identità gestita alle applicazioni client che devono usare il servizio. Le applicazioni possono quindi recuperare la chiave in base alle esigenze dall'insieme di credenziali delle chiavi, senza il rischio di esporla a utenti non autorizzati.

Azure AI Services credentials retrieved from Azure key Vault

Autenticazione basata su token

Quando si usa l'interfaccia REST, alcuni Servizi di Azure AI supportano (o richiedono anche) l'autenticazione basata su token. In questi casi, la chiave di sottoscrizione viene presentata in una richiesta iniziale per ottenere un token di autenticazione, che ha un periodo di validità di 10 minuti. Le richieste successive devono presentare il token per convalidare che il chiamante sia stato autenticato.

Suggerimento

Quando si usa un SDK, le chiamate per ottenere e presentare un token vengono gestite automaticamente dall'SDK.

Autenticazione Microsoft Entra

Alcuni servizi di intelligenza artificiale di Azure supportano l'autenticazione Microsoft Entra, consentendo di concedere l'accesso a specifiche entità servizio o identità gestite per app e servizi in esecuzione in Azure.

Nota

Per altre informazioni sulle opzioni di autenticazione per i servizi di Azure AI di Azure, vedere la documentazione di Servizi di Azure AI.