Dela via


Kundhanterade nycklar för kryptering

Azure AI bygger på flera Azure-tjänster. Data lagras säkert med hjälp av krypteringsnycklar som Microsoft tillhandahåller, men du kan förbättra säkerheten genom att tillhandahålla dina egna (kundhanterade) nycklar. Nycklarna som du anger lagras på ett säkert sätt med Hjälp av Azure Key Vault.

Förutsättningar

  • En Azure-prenumeration.

  • En Azure Key Vault-instans. Nyckelvalvet innehåller de nycklar som används för att kryptera dina tjänster.

    • Key Vault-instansen måste aktivera skydd mot mjuk borttagning och rensning.

    • Den hanterade identiteten för de tjänster som skyddas av en kundhanterad nyckel måste ha följande behörigheter i nyckelvalvet:

      • wrap-nyckel
      • packa upp nyckel
      • get

      Till exempel skulle den hanterade identiteten för Azure Cosmos DB behöva ha dessa behörigheter till nyckelvalvet.

Hur metadata lagras

Följande tjänster används av Azure AI för att lagra metadata för din Azure AI-resurs och dina projekt:

Tjänst Vad det används för Exempel
Azure Cosmos DB Lagrar metadata för dina Azure AI-projekt och -verktyg Tidsstämplar för flödesskapande, distributionstaggar, utvärderingsmått
Azure AI Search Lagrar index som används för att fråga ditt AI Studio-innehåll. Ett index baserat på dina modelldistributionsnamn
Azure Storage-konto Lagrar artefakter som skapats av Azure AI-projekt och -verktyg Finjusterade modeller

Alla ovanstående tjänster krypteras med samma nyckel vid den tidpunkt då du skapar din Azure AI-resurs för första gången och konfigureras i en hanterad resursgrupp i din prenumeration en gång för varje Azure AI-resurs och uppsättning projekt som är associerade med den. Din Azure AI-resurs och dina projekt läser och skriver data med hjälp av hanterad identitet. Hanterade identiteter beviljas åtkomst till resurserna med hjälp av en rolltilldelning (rollbaserad åtkomstkontroll i Azure) för dataresurserna. Krypteringsnyckeln som du anger används för att kryptera data som lagras på Microsoft-hanterade resurser. Den används också för att skapa index för Azure AI Search, som skapas vid körning.

Kundhanterade nycklar

När du inte använder en kundhanterad nyckel skapar och hanterar Microsoft dessa resurser i en Microsoft-ägd Azure-prenumeration och använder en Microsoft-hanterad nyckel för att kryptera data.

När du använder en kundhanterad nyckel finns dessa resurser i din Azure-prenumeration och krypterade med din nyckel. Även om de finns i din prenumeration hanteras dessa resurser av Microsoft. De skapas och konfigureras automatiskt när du skapar din Azure AI-resurs.

Viktigt!

När du använder en kundhanterad nyckel blir kostnaderna för din prenumeration högre eftersom dessa resurser finns i din prenumeration. Om du vill beräkna kostnaden använder du Priskalkylatorn för Azure.

Dessa Microsoft-hanterade resurser finns i en ny Azure-resursgrupp som skapas i din prenumeration. Den här gruppen är utöver resursgruppen för projektet. Den här resursgruppen innehåller de Microsoft-hanterade resurser som din nyckel används med. Resursgruppen namnges med formeln <Azure AI resource group name><GUID>. Det går inte att ändra namngivning av resurserna i den här hanterade resursgruppen.

Dricks

  • Begärandeenheterna för Azure Cosmos DB skalas automatiskt efter behov.
  • Om din AI-resurs använder en privat slutpunkt innehåller den här resursgruppen även ett Microsoft-hanterat virtuellt Azure-nätverk. Det här virtuella nätverket används för att skydda kommunikationen mellan de hanterade tjänsterna och projektet. Du kan inte ange ett eget virtuellt nätverk för användning med Microsoft-hanterade resurser. Du kan inte heller ändra det virtuella nätverket. Du kan till exempel inte ändra DET IP-adressintervall som används.

Viktigt!

Om din prenumeration inte har tillräckligt med kvot för dessa tjänster uppstår ett fel.

Varning

Ta inte bort den hanterade resursgruppen som innehåller den här Azure Cosmos DB-instansen, eller någon av resurserna som skapas automatiskt i den här gruppen. Om du behöver ta bort resursgruppen eller Microsoft-hanterade tjänster i den måste du ta bort de Azure AI-resurser som använder den. Resursgruppens resurser tas bort när den associerade AI-resursen tas bort.

Processen för att aktivera kundhanterade nycklar med Azure Key Vault för Azure AI-tjänster varierar beroende på produkt. Använd dessa länkar för tjänstspecifika instruktioner:

Så här lagras beräkningsdata

Azure AI använder beräkningsresurser för beräkningsinstanser och serverlös beräkning när du finjusterar modeller eller byggflöden. I följande tabell beskrivs beräkningsalternativen och hur data krypteras av var och en:

Compute Kryptering
Beräkningsinstans Den lokala scratch-disken är krypterad.
Serverlös databearbetning OS-disk krypterad i Azure Storage med Microsoft-hanterade nycklar. Temporär disk är krypterad.

Beräkningsinstans OS-disken för beräkningsinstansen krypteras med Microsoft-hanterade nycklar i Microsoft-hanterade lagringskonton. Om projektet skapades med parametern hbi_workspace inställd TRUEpå krypteras den lokala temporära disken på beräkningsinstansen med Microsoft-hanterade nycklar. Kundhanterad nyckelkryptering stöds inte för operativsystem och temporär disk.

Serverlös beräkning Os-disken för varje beräkningsnod som lagras i Azure Storage krypteras med Microsoft-hanterade nycklar. Det här beräkningsmålet är tillfälliga och kluster skalas vanligtvis ned när inga jobb placeras i kö. Den underliggande virtuella datorn avetableras och OS-disken tas bort. Azure Disk Encryption stöds inte för OS-disken.

Varje virtuell dator har också en lokal tillfällig disk för os-åtgärder. Om du vill kan du använda disken för att mellanlagra träningsdata. Den här miljön är kortvarig (endast under jobbet) och krypteringsstöd är endast begränsat till systemhanterade nycklar.

Begränsningar

  • Krypteringsnycklar skickas inte från Azure AI-resursen till beroende resurser, inklusive Azure AI Services och Azure Storage när de konfigureras på Azure AI-resursen. Du måste ange kryptering specifikt för varje resurs.
  • Den kundhanterade nyckeln för kryptering kan bara uppdateras till nycklar i samma Azure Key Vault-instans.
  • Efter distributionen kan du inte växla från Microsoft-hanterade nycklar till kundhanterade nycklar eller vice versa.
  • Resurser som skapas i den Microsoft-hanterade Azure-resursgruppen i din prenumeration kan inte ändras av dig eller tillhandahållas av dig när du skapas som befintliga resurser.
  • Du kan inte ta bort Microsoft-hanterade resurser som används för kundhanterade nycklar utan att även ta bort projektet.

Nästa steg