Шифрование неактивных данных в Переводчике
Переводчик автоматически шифрует отправленные данные, когда они сохраняются в облаке, помогая обеспечить безопасность организации и соответствие требованиям.
Сведения о шифровании служб ИИ Azure
Шифрование и расшифровка данных выполняется с помощью 256-битного шифрования AES по стандарту FIPS 140-2. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.
Об управлении ключами шифрования
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Если вы используете ценовую категорию, которая поддерживает ключи, управляемые клиентом, вы можете просмотреть параметры шифрования ресурса в разделе шифрования портал Azure, как показано на следующем рисунке.
Для подписок, поддерживающих только ключи шифрования, управляемые корпорацией Майкрософт, у вас нет раздела шифрования .
Управляемые клиентом ключи с использованием Azure Key Vault
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Есть также возможность управлять подпиской с собственными ключами, называемыми ключами, управляемыми клиентом (CMK). Ключи, управляемые клиентом, обеспечивают большую гибкость при создании, смене, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных. Если ключ, управляемый клиентом, настраивается для вашей подписки, а также выполняется двойное шифрование и предоставляется второй уровень защиты, это позволяет вам управлять ключом шифрования с помощью вашего собственного хранилища Azure Key Vault.
Чтобы включить ключи CMK для Переводчика, выполните следующие действия.
- Создайте новый региональный Переводчик или региональный ресурс служб ИИ Azure. Управляемые клиентом ключи не будут работать с глобальным ресурсом.
- Включите управляемое удостоверение на портале Azure и добавьте сведения о ключе CMK.
- Создайте новую рабочую область в пользовательском Переводчике и свяжите эту информацию о подписке.
Активация управляемых клиентом ключей
Для их хранения используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс служб ИИ Azure и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.
Новый ресурс служб искусственного интеллекта Azure всегда шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Во время создания ресурса невозможно включить ключи, управляемые клиентом. Управляемые клиентом ключи хранятся в Azure Key Vault. Хранилище ключей должно быть подготовлено с помощью политик доступа, которые предоставляют разрешения ключа управляемому удостоверению, связанному с ресурсом служб искусственного интеллекта Azure. Управляемое удостоверение доступно непосредственно после создания ресурса.
Сведения об использовании ключей, управляемых клиентом, с помощью Azure Key Vault для шифрования служб ИИ Azure см. в статье:
Включение управляемых клиентом ключей также включает управляемое удостоверение, назначенное системой, функцию идентификатора Microsoft Entra. После включения управляемого удостоверения, назначенного системой, этот ресурс будет зарегистрирован в идентификаторе Microsoft Entra. После регистрации управляемому удостоверению будет предоставлен доступ к хранилищу ключей, выбранному во время настройки управляемого клиентом ключа. Можно узнать дополнительные сведения об управляемых удостоверениях.
Важно!
Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать. Кроме того, для всех развернутых моделей развертывание будет отменено. Все отправленные данные будут удалены из пользовательского Переводчика. Если управляемые удостоверения включаются повторно, модель не будет для вас повторно автоматически развертываться.
Важно!
Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение назначается автоматически. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в статье "Передача подписки между каталогами Microsoft Entra в часто задаваемых вопросых и известных проблемах с управляемыми удостоверениями для ресурсов Azure".
Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault
Чтобы включить ключи, управляемые клиентом, необходимо использовать хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Обратимое удаление и Не очищать.
Только ключи RSA размера 2048 поддерживаются с шифрованием служб ИИ Azure. Дополнительные сведения о ключах Key Vault см. в статье Сведения о ключах, секретах и сертификатах Azure Key Vault.
Примечание.
Если хранилище ключей в целом удалено, данные больше не будут отображаться и все ваши модели не будут развернуты. Все отправленные данные будут удалены из пользовательского Переводчика.
Отзыв доступа к управляемым клиентом ключам
Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе служб искусственного интеллекта Azure и ваши модели будут отменены, так как ключ шифрования недоступен службами ИИ Azure. Все отправленные данные также будут удалены из пользовательского Переводчика.