Chaves gerenciadas pelo cliente para criptografia
A IA do Azure é criada com base em vários serviços do Azure. Embora os dados sejam armazenados com segurança usando chaves de criptografia fornecidas pela Microsoft, você pode aprimorar a segurança fornecendo chaves próprias (gerenciadas pelo cliente). As chaves fornecidas são armazenadas com segurança usando o Azure Key Vault.
Pré-requisitos
Uma assinatura do Azure.
Uma instância do Azure Key Vault. O cofre de chaves contém as chaves usadas para criptografar seus serviços.
Ao criar a instância do cofre de chaves, habilite a exclusão temporária e a proteção de limpeza.
A identidade gerenciada para os serviços protegidos por uma chave gerenciada pelo cliente deve ter as seguintes permissões no cofre de chaves:
- encapsular chave
- desencapsular chave
- get
Por exemplo, a identidade gerenciada do Azure Cosmos DB precisaria ter essas permissões para o cofre de chaves.
Como os metadados são armazenados
Os seguintes serviços são usados pela IA do Azure para armazenar metadados para seu recurso e projetos de IA do Azure:
| Serviço | Para que é usado | Exemplo |
|---|---|---|
| Azure Cosmos DB | Armazena metadados para seus projetos e ferramentas de IA do Azure | Carimbos de data/hora de criação de fluxo, marcas de implantação, métricas de avaliação |
| Pesquisa de IA do Azure. | Armazena índices que são usados para ajudar a consultar seu conteúdo do estúdio de IA. | Um índice baseado em seus nomes de implantação de modelo |
| Conta de Armazenamento do Azure | Armazena artefatos criados por projetos e ferramentas de IA do Azure | Fine_tuned_model |
Todos os serviços acima são criptografados usando a mesma chave no momento em que você cria seu recurso de IA do Azure pela primeira vez e são configurados em um grupo de recursos gerenciados em sua assinatura uma vez para cada recurso de IA do Azure e um conjunto de projetos associados a ele. O recurso de IA do Azure e os projetos leem e gravam dados usando a identidade gerenciada. Identidades gerenciadas têm acesso aos recursos usando uma atribuição de função (controle de acesso baseado em função do Azure) nos recursos de dados. A chave de criptografia que você fornece é usada para criptografar dados armazenados em recursos gerenciados pela Microsoft. Ela também é usada para criar índices para o Azure IA Search, que são criados em runtime.
Chaves gerenciadas pelo cliente
Quando você não usa uma chave gerenciada pelo cliente, a Microsoft cria e gerencia esses recursos em uma assinatura do Azure de propriedade da Microsoft e usa uma chave gerenciada pela Microsoft para criptografar os dados.
Quando você usa uma chave gerenciada pelo cliente, esses recursos estão em sua assinatura do Azure e criptografados com sua chave. Embora eles existam em sua assinatura, esses recursos são gerenciados pela Microsoft. Eles são criados e configurados automaticamente quando você cria seu recurso da IA do Azure.
Importante
Ao usar uma chave gerenciada pelo cliente, os custos da sua assinatura serão maiores porque esses recursos estão em sua assinatura. Use a Calculadora de Preços do Azure para estimar os custos.
Esses recursos gerenciados pela Microsoft estão localizados em um novo grupo de recursos do Azure criado em sua assinatura. Este grupo é complementar ao grupo de recursos do projeto. Ele conterá os recursos gerenciados pela Microsoft com os quais sua chave é usada. O grupo do recurso será definido com base na fórmula <Azure AI resource group name><GUID>. Não é possível alterar a nomenclatura dos recursos nesse grupo de recursos gerenciado.
Dica
- As Unidades de solicitação para o banco de dados Azure Cosmos DB são dimensionadas automaticamente conforme necessário.
- Se o recurso da IA do Azure usar um ponto de extremidade privado, esse grupo de recursos também conterá uma Rede Virtual do Azure gerenciada pela Microsoft. Essa VNet será usada para proteger as comunicações entre os serviços gerenciados e o projeto. Você não pode fornecer sua própria VNet para uso com os recursos gerenciados pela Microsoft. Você também não pode modificar a rede virtual. Por exemplo, você não pode alterar o intervalo de endereços IP que ela usa.
Importante
Se sua assinatura não tiver cota suficiente para esses serviços, ocorrerá uma falha.
Aviso
Não exclua o grupo de recursos gerenciados que contém essa instância do Azure Cosmos DB nem os recursos criados automaticamente nele. Se você precisar excluir o grupo de recursos ou os serviços gerenciados pela Microsoft que estão nele, exclua os recursos da IA do Azure que o usam. Os recursos do grupo de recursos são excluídos quando o recurso de IA associado é excluído.
O processo para habilitar as Chaves Gerenciadas pelo Cliente com o Azure Key Vault para os serviços de IA do Azure varia de acordo com o produto. Use estes links para obter instruções específicas do serviço:
- Criptografia OpenAI do Azure de dados inativos
- Criptografia da Visão Personalizada para dados inativos
- Criptografia dos serviços de Detecção Facial para dados inativos
- Criptografia da informação de documentos de dados inativos
- Criptografia de Tradução para dados inativos
- Criptografia de dados inativos através de serviços de linguagem
- Criptografia de dados inativos de fala
- Criptografia do Content Moderator para dados inativos
- Criptografia do Personalizador para dados inativos
Como os dados de computação são armazenados
A IA do Azure usa recursos de computação para a instância de computação e a computação sem servidor quando você ajusta modelos ou fluxos de build. A tabela a seguir descreve as opções de computação e como os dados são criptografados por cada uma:
| Computação | Criptografia |
|---|---|
| Instância de computação | O disco transitório local é criptografado. |
| Computação sem servidor | Disco do sistema operacional criptografado no Azure Armazenamento com chaves gerenciadas pela Microsoft. O disco temporário é criptografado. |
Instância de computação O disco do SO para instância de computação é criptografado com chaves gerenciadas pela Microsoft em contas de armazenamento gerenciadas pela Microsoft. Se o projeto foi criado com o parâmetro hbi_workspace definido como TRUE, o disco temporário local na instância de computação é criptografado com chaves gerenciadas pela Microsoft. Não há compatibilidade com a criptografia de chave gerenciada pelo cliente para o sistema operacional e o disco temporário.
Computação sem servidor O disco do SO para cada nó de computação armazenado no Armazenamento do Microsoft Azure é criptografado com chaves gerenciadas pela Microsoft. Esse destino de computação é efêmero e, normalmente, os clusters são reduzidos quando não há trabalhos na fila. A máquina virtual subjacente é desprovisionada e o disco do SO é excluído. Não há suporte para o Azure Disk Encryption do disco do SO.
Cada máquina virtual também tem um disco temporário local para operações do SO. Caso deseje, você pode usar o disco para preparar os dados de treinamento. Esse ambiente tem uma curta duração (durante o trabalho), e o suporte da criptografia é limitado apenas a chaves gerenciadas pelo sistema.
Limitações
- As chaves de criptografia não passam do recurso de IA do Azure para recursos dependentes, incluindo os Serviços de IA do Azure e o Armazenamento do Microsoft Azure quando configuradas no recurso de IA do Azure. Você deve definir a criptografia especificamente em cada recurso.
- A chave gerenciada pelo cliente para criptografia só pode ser atualizada para chaves na mesma instância do Azure Key Vault.
- Após a implantação, você não pode alternar de chaves gerenciadas pela Microsoft para chaves gerenciadas pelo cliente ou vice-versa.
- Os recursos criados no grupo de recursos do Azure gerenciado pela Microsoft em sua assinatura não podem ser modificados por você ou fornecidos por você no momento da criação como recursos existentes.
- Você não pode excluir recursos gerenciados pela Microsoft usados para chaves gerenciadas pelo cliente sem também excluir o projeto.
Próximas etapas
- Formulário de Solicitação de Chave Gerenciada pelo Cliente dos Serviços de IA do Azure ainda é necessário para o Content Moderator e a Fala.
- O que é o Cofre da Chave do Azure?