암호화를 위해 고객 관리 키 사용
Azure AI는 여러 Azure 서비스를 토대로 빌드되었습니다. Microsoft에서 제공하는 암호화 키를 사용하여 데이터가 안전하게 저장되지만, 고유한(고객 관리형) 키를 제공하여 보안을 강화할 수 있습니다. 제공하는 키는 Azure Key Vault를 사용하여 안전하게 저장됩니다.
필수 구성 요소
Azure 구독
Azure Key Vault 인스턴스. 키 자격 증명 모음에는 서비스를 암호화하는 데 사용되는 키가 포함됩니다.
키 자격 증명 모음 인스턴스에서 일시 삭제와 제거 방지를 사용하도록 설정해야 합니다.
고객 관리형 키로 보호되는 서비스의 관리 ID는 키 자격 증명 모음에서 다음 권한을 보유해야 합니다.
- 키 래핑
- 키 래핑 해제
- get
예를 들어 Azure Cosmos DB의 관리 ID에는 키 자격 증명 모음에 대한 해당 권한이 있어야 합니다.
메타데이터 저장 방법
다음 서비스는 Azure AI에서 Azure AI 리소스 및 프로젝트에 대한 메타데이터를 저장하는 데 사용됩니다.
| 서비스 | 사용 대상 | 예시 |
|---|---|---|
| Azure Cosmos DB | Azure AI 프로젝트 및 도구에 대한 메타데이터 저장 | 흐름 만들기 타임스탬프, 배포 태그, 평가 메트릭 |
| Azure AI 검색 | AI 스튜디오 콘텐츠를 쿼리하는 데 사용되는 인덱스를 저장합니다. | 모델 배포 이름을 기반으로 하는 인덱스 |
| Azure Storage Account | Azure AI 프로젝트 및 도구에서 만든 아티팩트 저장 | 미세 조정된 모델 |
위의 모든 서비스는 Azure AI 리소스를 처음 만들 때 동일한 키를 사용하여 암호화되며, 모든 Azure AI 리소스 및 연결된 프로젝트 세트에 대해 구독의 관리되는 리소스 그룹에 한 번 설정됩니다. Azure AI 리소스 및 프로젝트는 관리 ID를 사용하여 데이터를 읽고 씁니다. 관리 ID에는 데이터 리소스에서 역할 할당(Azure 역할 기반 액세스 제어)을 사용하여 리소스에 대한 액세스 권한이 부여됩니다. 제공한 암호화 키는 Microsoft 관리형 리소스에 저장된 데이터를 암호화하는 데 사용됩니다. 런타임에 생성되는 Azure AI 검색용 인덱스를 만드는 데에도 사용됩니다.
고객 관리형 키
고객 관리형 키를 사용하지 않는 경우 Microsoft는 Microsoft 소유 Azure 구독에서 리소스를 만들고 관리하며, Microsoft 관리형 키를 사용하여 데이터를 암호화합니다.
고객 관리형 키를 사용하는 경우에는 이러한 리소스는 Azure 구독에 있으며 고객 키로 암호화됩니다. 리소스가 고객 구독에 있는 반면, Microsoft에서 리소스를 관리합니다. Azure AI 리소스를 만들 때 자동으로 만들어지고 구성됩니다.
Important
고객 관리형 키를 사용하는 경우 리소스가 고객 구독에 있기 때문에 구독 비용이 증가합니다. 비용을 예측하려면 Azure 가격 계산기를 사용합니다.
Microsoft 관리형 리소스는 고객 구독에서 생성된 새 Azure 리소스 그룹에 있습니다. 이 그룹은 작업 프로젝트의 리소스 그룹에 추가로 생성됩니다. 이 리소스 그룹에는 키가 사용되는 Microsoft 관리형 리소스가 포함되어 있습니다. 리소스 그룹의 이름은 <Azure AI resource group name><GUID>의 수식을 사용하여 지정됩니다. 이 관리되는 리소스 그룹의 리소스 이름은 변경할 수 없습니다.
팁
- Azure Cosmos DB에 대한 요청 단위는 필요에 따라 자동으로 스케일링됩니다.
- AI 리소스에서 프라이빗 엔드포인트를 사용하는 경우 이 리소스 그룹에는 Microsoft 관리형 Azure Virtual Network도 포함됩니다. 이 VNet은 관리형 서비스와 프로젝트 간의 통신을 보호하는 데 사용됩니다. 고유한 VNet을 Microsoft 관리형 리소스에 사용하도록 제공할 수 없습니다. 가상 네트워크를 수정할 수도 없습니다. 예를 들어 사용하는 IP 주소 범위를 변경할 수 없습니다.
Important
구독에 서비스 할당량이 충분하지 않으면 오류가 발생합니다.
Warning
이 Azure Cosmos DB 인스턴스를 포함하는 관리되는 리소스 그룹 또는 이 그룹에서 자동으로 생성된 리소스를 삭제하지 마세요. 리소스 그룹 또는 이 그룹에 있는 Microsoft 관리형 서비스를 삭제해야 하는 경우 리소스 그룹을 사용하는 Azure AI 리소스를 삭제해야 합니다. 관련 AI 리소스를 삭제하면 리소스 그룹 리소스가 삭제됩니다.
Azure AI 서비스용 Azure Key Vault를 사용하여 고객 관리형 키를 사용하도록 설정하는 프로세스는 제품에 따라 다릅니다. 다음 링크를 사용하여 서비스별 지침을 따르세요.
- 미사용 데이터의 Azure OpenAI 암호화
- 미사용 데이터의 Custom Vision 암호화
- 미사용 데이터의 Face Services 암호화
- 미사용 데이터의 문서 인텔리전스 암호화
- 미사용 데이터의 Translator 암호화
- 미사용 데이터의 언어 서비스 암호화
- 미사용 데이터의 음성 암호화
- 미사용 데이터의 Content Moderator 암호화
- 미사용 데이터의 Personalizer 암호화
컴퓨팅 데이터 저장 방법
Azure AI는 모델을 미세 조정하거나 흐름을 빌드할 때 컴퓨팅 인스턴스 및 서버리스 컴퓨팅에 컴퓨팅 리소스를 사용합니다. 다음 표에서는 컴퓨팅 옵션과 각 컴퓨팅 옵션에서 데이터를 암호화하는 방법을 설명합니다.
| 컴퓨팅 | 암호화 |
|---|---|
| 컴퓨팅 인스턴스 | 로컬 스크래치 디스크가 암호화됩니다. |
| 서버리스 컴퓨팅 | Azure Storage의 OS 디스크가 Microsoft 관리형 키를 사용하여 암호화됩니다. 임시 디스크가 암호화됩니다. |
컴퓨팅 인스턴스 컴퓨팅 인스턴스용 OS 디스크는 Azure 관리형 스토리지 계정의 Microsoft 관리형 키로 암호화됩니다. hbi_workspace 매개 변수를 TRUE로 설정하여 프로젝트를 만든 경우 컴퓨팅 인스턴스의 로컬 임시 디스크는 Microsoft 관리형 키로 암호화됩니다. OS 및 임시 디스크에는 고객 관리형 키 암호화가 지원되지 않습니다.
서버리스 컴퓨팅 Azure Storage에 저장된 각 컴퓨팅 노드의 OS 디스크는 Microsoft 관리형 키로 암호화됩니다. 컴퓨팅 대상은 사용 후 삭제되며 대기 중인 작업이 없으면 일반적으로 클러스터가 축소됩니다. 기본 가상 머신의 프로비저닝이 해제되고 OS 디스크가 삭제됩니다. OS 디스크에는 Azure Disk Encryption이 지원되지 않습니다.
각 가상 머신에는 OS 작업을 위한 로컬 임시 디스크도 있습니다. 필요하면 디스크를 사용하여 학습 데이터를 준비할 수 있습니다. 이 환경은 작업 중에만 수명이 지속되며 암호화 지원이 시스템 관리형 키로만 제한됩니다.
제한 사항
- Azure AI 리소스에 구성된 경우 암호화 키는 Azure AI 리소스에서 Azure AI Services 및 Azure Storage를 포함한 종속 리소스로 전달되지 않습니다. 각 리소스에 대해 암호화를 구체적으로 설정해야 합니다.
- 암호화를 위한 고객 관리형 키는 동일한 Azure Key Vault 인스턴스의 키로만 업데이트할 수 있습니다.
- 배포 후에는 Microsoft 관리형 키에서 고객 관리형 키로 전환하거나 그 반대로 전환할 수 없습니다.
- 구독의 Microsoft 관리형 Azure 리소스 그룹에서 만든 리소스는 사용자가 수정할 수 없으며 생성 시 사용자가 기존 리소스로 제공할 수도 없습니다.
- 프로젝트도 삭제해야 고객 관리형 키에 사용되는 Microsoft 관리형 리소스를 삭제할 수 있습니다.
다음 단계
- Speech 및 Content Moderator에는 Azure AI 서비스 고객 관리형 키 요청 양식이 계속 필요합니다.
- Azure Key Vault란?