Door de klant beheerde sleutels voor versleuteling
Azure AI is gebouwd op meerdere Azure-services. Hoewel de gegevens veilig worden opgeslagen met behulp van versleutelingssleutels die Microsoft biedt, kunt u de beveiliging verbeteren door uw eigen (door de klant beheerde) sleutels op te geven. De sleutels die u opgeeft, worden veilig opgeslagen met behulp van Azure Key Vault.
Vereisten
Een Azure-abonnement.
Een Azure Key Vault-exemplaar. De sleutelkluis bevat de sleutel(en) die worden gebruikt om uw services te versleutelen.
Het sleutelkluisexemplaren moeten beveiliging tegen voorlopig verwijderen en opschonen inschakelen.
De beheerde identiteit voor de services die worden beveiligd door een door de klant beheerde sleutel, moet de volgende machtigingen hebben in de sleutelkluis:
- terugloopsleutel
- Sleutel uitpakken
- Toevoegen
De beheerde identiteit voor Azure Cosmos DB moet bijvoorbeeld deze machtigingen hebben voor de sleutelkluis.
Hoe metagegevens worden opgeslagen
De volgende services worden door Azure AI gebruikt voor het opslaan van metagegevens voor uw Azure AI-resource en -projecten:
| Service | Waar het voor wordt gebruikt | Voorbeeld |
|---|---|---|
| Azure Cosmos DB | Slaat metagegevens op voor uw Azure AI-projecten en -hulpprogramma's | Tijdstempels voor het maken van stromen, implementatietags, metrische evaluatiegegevens |
| Azure AI Search | Slaat indexen op die worden gebruikt om query's uit te voeren op uw AI Studio-inhoud. | Een index op basis van uw modelimplementatienamen |
| Azure-opslagaccount | Slaat artefacten op die zijn gemaakt door Azure AI-projecten en -hulpprogramma's | Nauwkeurig afgestemde modellen |
Alle bovenstaande services worden versleuteld met dezelfde sleutel op het moment dat u uw Azure AI-resource voor het eerst maakt en worden ingesteld in een beheerde resourcegroep in uw abonnement één keer voor elke Azure AI-resource en set projecten die eraan zijn gekoppeld. Uw Azure AI-resource en -projecten lezen en schrijven gegevens met behulp van een beheerde identiteit. Beheerde identiteiten krijgen toegang tot de resources met behulp van een roltoewijzing (op rollen gebaseerd toegangsbeheer van Azure) op de gegevensbronnen. De versleutelingssleutel die u opgeeft, wordt gebruikt voor het versleutelen van gegevens die zijn opgeslagen op door Microsoft beheerde resources. Het wordt ook gebruikt om indexen te maken voor Azure AI Search, die tijdens runtime worden gemaakt.
Door klant beheerde sleutels
Wanneer u geen door de klant beheerde sleutel gebruikt, maakt en beheert Microsoft deze resources in een Azure-abonnement dat eigendom is van Microsoft en gebruikt een door Microsoft beheerde sleutel om de gegevens te versleutelen.
Wanneer u een door de klant beheerde sleutel gebruikt, bevinden deze resources zich in uw Azure-abonnement en worden deze versleuteld met uw sleutel. Hoewel deze in uw abonnement aanwezig zijn, worden deze resources beheerd door Microsoft. Ze worden automatisch gemaakt en geconfigureerd wanneer u uw Azure AI-resource maakt.
Belangrijk
Wanneer u een door de klant beheerde sleutel gebruikt, zijn de kosten voor uw abonnement hoger omdat deze resources zich in uw abonnement bevinden. Als u de kosten wilt schatten, gebruikt u de Azure-prijscalculator.
Deze door Microsoft beheerde resources bevinden zich in een nieuwe Azure-resourcegroep die in uw abonnement wordt gemaakt. Deze groep is naast de resourcegroep voor uw project. Deze resourcegroep bevat de door Microsoft beheerde resources waarmee uw sleutel wordt gebruikt. De resourcegroep heeft de naam met behulp van de formule van <Azure AI resource group name><GUID>. Het is niet mogelijk om de naamgeving van de resources in deze beheerde resourcegroep te wijzigen.
Tip
- De aanvraageenheden voor de Azure Cosmos DB worden indien nodig automatisch geschaald.
- Als uw AI-resource gebruikmaakt van een privé-eindpunt, bevat deze resourcegroep ook een door Microsoft beheerd Virtueel Azure-netwerk. Dit VNet wordt gebruikt om de communicatie tussen de beheerde services en het project te beveiligen. U kunt uw eigen VNet niet opgeven voor gebruik met de door Microsoft beheerde resources. U kunt het virtuele netwerk ook niet wijzigen. U kunt bijvoorbeeld het IP-adresbereik dat wordt gebruikt, niet wijzigen.
Belangrijk
Als uw abonnement onvoldoende quotum voor deze services heeft, treedt er een fout op.
Waarschuwing
Verwijder niet de beheerde resourcegroep die dit Azure Cosmos DB-exemplaar bevat of een van de resources die automatisch in deze groep zijn gemaakt. Als u de resourcegroep of door Microsoft beheerde services wilt verwijderen, moet u de Azure AI-resources verwijderen die deze gebruiken. De resourcegroepresources worden verwijderd wanneer de bijbehorende AI-resource wordt verwijderd.
Het proces voor het inschakelen van door de klant beheerde sleutels met Azure Key Vault voor Azure AI-services verschilt per product. Gebruik deze koppelingen voor servicespecifieke instructies:
- Azure OpenAI-versleuteling van data-at-rest
- Custom Vision-versleuteling van data-at-rest
- Face Services-versleuteling van data-at-rest
- Document Intelligence-versleuteling van data-at-rest
- Vertalen versleuteling van data-at-rest
- Taalserviceversleuteling van data-at-rest
- Spraakversleuteling van data-at-rest
- Content Moderator-versleuteling van data-at-rest
- Personalizer-versleuteling van data-at-rest
Hoe rekengegevens worden opgeslagen
Azure AI maakt gebruik van rekenresources voor rekeninstanties en serverloze berekeningen wanneer u modellen verfijnt of stromen bouwt. In de volgende tabel worden de rekenopties beschreven en wordt beschreven hoe gegevens door elke gegevens worden versleuteld:
| Compute | Versleuteling |
|---|---|
| Rekenproces | Lokale scratchschijf is versleuteld. |
| Serverloze compute | Besturingssysteemschijf versleuteld in Azure Storage met door Microsoft beheerde sleutels. Tijdelijke schijf is versleuteld. |
Rekeninstantie De besturingssysteemschijf voor het rekenproces wordt versleuteld met door Microsoft beheerde sleutels in door Microsoft beheerde opslagaccounts. Als het project is gemaakt met de hbi_workspace parameter die is ingesteld TRUEop, wordt de lokale tijdelijke schijf op het rekenproces versleuteld met door Microsoft beheerde sleutels. Versleuteling van door de klant beheerde sleutels wordt niet ondersteund voor de besturingssysteem- en tijdelijke schijf.
Serverloze berekening De besturingssysteemschijf voor elk rekenknooppunt dat is opgeslagen in Azure Storage, wordt versleuteld met door Microsoft beheerde sleutels. Dit rekendoel is kortstondig en clusters worden meestal omlaag geschaald wanneer er geen taken in de wachtrij worden geplaatst. De onderliggende virtuele machine is niet ingericht en de besturingssysteemschijf wordt verwijderd. Azure Disk Encryption wordt niet ondersteund voor de besturingssysteemschijf.
Elke virtuele machine heeft ook een lokale tijdelijke schijf voor besturingssysteembewerkingen. Als u wilt, kunt u de schijf gebruiken om trainingsgegevens te fasen. Deze omgeving is kortlevend (alleen tijdens uw taak) en versleutelingsondersteuning is beperkt tot alleen door het systeem beheerde sleutels.
Beperkingen
- Versleutelingssleutels worden niet doorgegeven vanuit de Azure AI-resource naar afhankelijke resources, waaronder Azure AI Services en Azure Storage wanneer deze zijn geconfigureerd op de Azure AI-resource. U moet versleuteling specifiek instellen voor elke resource.
- De door de klant beheerde sleutel voor versleuteling kan alleen worden bijgewerkt naar sleutels in hetzelfde Azure Key Vault-exemplaar.
- Na de implementatie kunt u niet overschakelen van door Microsoft beheerde sleutels naar door de klant beheerde sleutels of omgekeerd.
- Resources die zijn gemaakt in de door Microsoft beheerde Azure-resourcegroep in uw abonnement, kunnen niet door u worden gewijzigd of door u worden verstrekt op het moment dat u deze maakt als bestaande resources.
- U kunt door Microsoft beheerde resources die worden gebruikt voor door de klant beheerde sleutels niet verwijderen zonder uw project ook te verwijderen.
Volgende stappen
- Aanvraagformulier voor door de klant beheerde sleutel van Azure AI-services is nog steeds vereist voor Speech en Content Moderator.
- Wat is Azure Key Vault?