Klucze zarządzane przez klienta na potrzeby szyfrowania
Usługa Azure AI jest oparta na wielu usługach platformy Azure. Chociaż dane są bezpiecznie przechowywane przy użyciu kluczy szyfrowania zapewnianych przez firmę Microsoft, można zwiększyć bezpieczeństwo, udostępniając własne (zarządzane przez klienta) klucze. Podane klucze są bezpiecznie przechowywane przy użyciu usługi Azure Key Vault.
Wymagania wstępne
Subskrypcja platformy Azure.
Wystąpienie usługi Azure Key Vault. Magazyn kluczy zawiera klucze używane do szyfrowania usług.
Wystąpienie magazynu kluczy musi włączyć usuwanie nietrwałe i ochronę przed przeczyszczeniem.
Tożsamość zarządzana usług zabezpieczonych przez klucz zarządzany przez klienta musi mieć następujące uprawnienia w magazynie kluczy:
- Zawijanie klucza
- odpakowywanie klucza
- get
Na przykład tożsamość zarządzana usługi Azure Cosmos DB musi mieć te uprawnienia do magazynu kluczy.
Jak są przechowywane metadane
Następujące usługi są używane przez usługę Azure AI do przechowywania metadanych dla zasobów i projektów usługi Azure AI:
| Service | Zastosowanie | Przykład |
|---|---|---|
| Azure Cosmos DB | Przechowuje metadane dla projektów i narzędzi sztucznej inteligencji platformy Azure | Znaczniki czasu tworzenia przepływu, tagi wdrożenia, metryki oceny |
| Azure AI Search | Przechowuje indeksy używane do wykonywania zapytań dotyczących zawartości programu AI Studio. | Indeks oparty na nazwach wdrożeń modelu |
| Konto magazynu platformy Azure | Przechowuje artefakty utworzone przez projekty i narzędzia sztucznej inteligencji platformy Azure | Dostrojone modele |
Wszystkie powyższe usługi są szyfrowane przy użyciu tego samego klucza w czasie tworzenia zasobu usługi Azure AI po raz pierwszy i są konfigurowane w zarządzanej grupie zasobów w subskrypcji raz dla każdego zasobu usługi Azure AI i zestawu skojarzonych z nim projektów. Zasób i projekty sztucznej inteligencji platformy Azure odczytują i zapisują dane przy użyciu tożsamości zarządzanej. Tożsamości zarządzane mają dostęp do zasobów przy użyciu przypisania roli (kontroli dostępu opartej na rolach platformy Azure) w zasobach danych. Klucz szyfrowania, który podajesz, służy do szyfrowania danych przechowywanych w zasobach zarządzanych przez firmę Microsoft. Służy również do tworzenia indeksów dla usługi Azure AI Search, które są tworzone w czasie wykonywania.
Klucze zarządzane przez klienta
Jeśli nie używasz klucza zarządzanego przez klienta, firma Microsoft tworzy te zasoby i zarządza nimi w ramach subskrypcji platformy Azure należącej do firmy Microsoft i używa klucza zarządzanego przez firmę Microsoft do szyfrowania danych.
Jeśli używasz klucza zarządzanego przez klienta, te zasoby znajdują się w subskrypcji platformy Azure i są szyfrowane przy użyciu klucza. Chociaż istnieją one w Twojej subskrypcji, te zasoby są zarządzane przez firmę Microsoft. Są one tworzone i konfigurowane automatycznie podczas tworzenia zasobu usługi Azure AI.
Ważne
W przypadku korzystania z klucza zarządzanego przez klienta koszty subskrypcji będą wyższe, ponieważ te zasoby znajdują się w twojej subskrypcji. Aby oszacować koszt, użyj kalkulatora cen platformy Azure.
Te zasoby zarządzane przez firmę Microsoft znajdują się w nowej grupie zasobów platformy Azure utworzonej w ramach subskrypcji. Ta grupa jest dodatkiem do grupy zasobów dla projektu. Ta grupa zasobów zawiera zasoby zarządzane przez firmę Microsoft, z którymi jest używany klucz. Grupa zasobów nosi nazwę przy użyciu formuły <Azure AI resource group name><GUID>. Nie można zmienić nazewnictwa zasobów w tej zarządzanej grupie zasobów.
Napiwek
- Jednostki żądań dla usługi Azure Cosmos DB są automatycznie skalowane zgodnie z potrzebami.
- Jeśli zasób sztucznej inteligencji używa prywatnego punktu końcowego, ta grupa zasobów będzie również zawierać zarządzaną przez firmę Microsoft sieć wirtualną platformy Azure. Ta sieć wirtualna służy do zabezpieczania komunikacji między usługami zarządzanymi a projektem. Nie można podać własnej sieci wirtualnej do użycia z zasobami zarządzanymi przez firmę Microsoft. Nie można również zmodyfikować sieci wirtualnej. Na przykład nie można zmienić używanego zakresu adresów IP.
Ważne
Jeśli twoja subskrypcja nie ma wystarczającego limitu przydziału dla tych usług, wystąpi błąd.
Ostrzeżenie
Nie usuwaj zarządzanej grupy zasobów zawierającej to wystąpienie usługi Azure Cosmos DB ani żadnego z zasobów utworzonych automatycznie w tej grupie. Jeśli musisz usunąć w niej grupę zasobów lub usługi zarządzane przez firmę Microsoft, musisz usunąć zasoby usługi Azure AI, które go używają. Zasoby grupy zasobów są usuwane po usunięciu skojarzonego zasobu sztucznej inteligencji.
Proces włączania kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault dla usług azure AI różni się w zależności od produktu. Skorzystaj z tych linków, aby uzyskać instrukcje specyficzne dla usługi:
- Szyfrowanie danych magazynowanych za pomocą usługi Azure OpenAI
- Szyfrowanie danych magazynowanych za pomocą usługi Custom Vision
- Szyfrowanie danych magazynowanych za pomocą usług rozpoznawania twarzy
- Szyfrowanie danych magazynowanych za pomocą analizy dokumentów
- Szyfrowanie danych magazynowanych w usłudze Translator
- Szyfrowanie danych magazynowanych przez usługę językową
- Szyfrowanie mowy danych magazynowanych
- Szyfrowanie danych magazynowanych w usłudze Content Moderator
- Personalizowanie szyfrowania danych magazynowanych
Jak są przechowywane dane obliczeniowe
Usługa Azure AI używa zasobów obliczeniowych na potrzeby wystąpienia obliczeniowego i bezserwerowych zasobów obliczeniowych podczas dostosowywania modeli lub tworzenia przepływów. W poniższej tabeli opisano opcje obliczeniowe i sposób szyfrowania danych przy użyciu każdego z nich:
| Compute | Szyfrowanie |
|---|---|
| Wystąpienie obliczeniowe | Lokalny dysk tymczasowy jest szyfrowany. |
| Bezserwerowe usługi obliczeniowe | Dysk systemu operacyjnego zaszyfrowany w usłudze Azure Storage przy użyciu kluczy zarządzanych przez firmę Microsoft. Dysk tymczasowy jest szyfrowany. |
Wystąpienie obliczeniowe Dysk systemu operacyjnego dla wystąpienia obliczeniowego jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft na kontach magazynu zarządzanego przez firmę Microsoft. Jeśli projekt został utworzony przy użyciu parametru ustawionego na TRUEwartość , lokalny dysk tymczasowy w wystąpieniu hbi_workspace obliczeniowym jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Szyfrowanie kluczy zarządzanych przez klienta nie jest obsługiwane w przypadku systemu operacyjnego i dysku tymczasowego.
Obliczenia bezserwerowe Dysk systemu operacyjnego dla każdego węzła obliczeniowego przechowywanego w usłudze Azure Storage jest szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Ten docelowy obiekt obliczeniowy jest efemeryczny, a klastry są zwykle skalowane w dół, gdy żadne zadania nie są kolejkowane. Podstawowa maszyna wirtualna zostanie anulowana, a dysk systemu operacyjnego zostanie usunięty. Usługa Azure Disk Encryption nie jest obsługiwana dla dysku systemu operacyjnego.
Każda maszyna wirtualna ma również lokalny dysk tymczasowy dla operacji systemu operacyjnego. Jeśli chcesz, możesz użyć dysku do przygotowania danych treningowych. To środowisko jest krótkotrwałe (tylko podczas zadania), a obsługa szyfrowania jest ograniczona tylko do kluczy zarządzanych przez system.
Ograniczenia
- Klucze szyfrowania nie są przekazywane z zasobu usługi Azure AI do zasobów zależnych, w tym usług Azure AI Services i Azure Storage podczas konfigurowania zasobu usługi Azure AI. Należy ustawić szyfrowanie specjalnie dla każdego zasobu.
- Klucz zarządzany przez klienta na potrzeby szyfrowania można zaktualizować tylko do kluczy w tym samym wystąpieniu usługi Azure Key Vault.
- Po wdrożeniu nie można przełączyć się z kluczy zarządzanych przez firmę Microsoft do kluczy zarządzanych przez klienta ani na odwrót.
- Zasoby utworzone w grupie zasobów platformy Azure zarządzanej przez firmę Microsoft w ramach subskrypcji nie mogą być modyfikowane przez Ciebie ani udostępniane przez Ciebie w momencie tworzenia jako istniejących zasobów.
- Nie można usunąć zasobów zarządzanych przez firmę Microsoft używanych na potrzeby kluczy zarządzanych przez klienta bez usuwania projektu.
Następne kroki
- Formularz żądania klucza zarządzanego przez klienta usługi Azure AI jest nadal wymagany dla usługi Mowa i Content Moderator.
- Co to jest usługa Azure Key Vault?