Şifreleme için müşteri tarafından yönetilen anahtarları kullanma
Azure yapay zeka, birden çok Azure hizmeti üzerine kurulmuştur. Veriler Microsoft'un sağladığı şifreleme anahtarları kullanılarak güvenli bir şekilde depolansa da, kendi (müşteri tarafından yönetilen) anahtarlarınızı sağlayarak güvenliği artırabilirsiniz. Sağladığınız anahtarlar Azure Key Vault kullanılarak güvenli bir şekilde depolanır.
Önkoşullar
Azure aboneliği.
Azure Key Vault örneği. Anahtar kasası, hizmetlerinizi şifrelemek için kullanılan anahtarları içerir.
Anahtar kasası örneğinin geçici silme ve temizleme korumasını etkinleştirmesi gerekir.
Müşteri tarafından yönetilen anahtarla güvenliği sağlanan hizmetler için yönetilen kimliğin anahtar kasasında aşağıdaki izinlere sahip olması gerekir:
- kaydırma tuşu
- unwrap tuşu
- get
Müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen bir anahtar kullanmadığınızda, Microsoft bu kaynakları Microsoft'a ait bir Azure aboneliğinde oluşturup yönetir ve verileri şifrelemek için Microsoft tarafından yönetilen bir anahtar kullanır.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, bu kaynaklar Azure aboneliğinizdedir ve anahtarınız ile şifrelenir. Bunlar aboneliğinizde mevcut olsa da, bu kaynaklar Microsoft tarafından yönetilir. Azure AI kaynağınızı oluşturduğunuzda otomatik olarak oluşturulur ve yapılandırılır.
Önemli
Müşteri tarafından yönetilen bir anahtar kullanıldığında, bu kaynaklar aboneliğinizde olduğundan aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Microsoft tarafından yönetilen bu kaynaklar, aboneliğinizde oluşturulan yeni bir Azure kaynak grubunda bulunur. Bu grup, projenizin kaynak grubuna ek olarak kullanılır. Bu kaynak grubu, anahtarınızın birlikte kullanıldığı Microsoft tarafından yönetilen kaynakları içerir. Kaynak grubu formülü <Azure AI resource group name><GUID>kullanılarak adlandırılır. Bu yönetilen kaynak grubundaki kaynakların adlandırması değiştirilemez.
İpucu
- Yapay zeka kaynağınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure Sanal Ağ de içerir. Bu sanal ağ, yönetilen hizmetler ve proje arasındaki iletişimin güvenliğini sağlamak için kullanılır. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Önemli
Aboneliğinizin bu hizmetler için yeterli kotası yoksa bir hata oluşur.
Uyarı
Yönetilen kaynak grubunu, bu grupta otomatik olarak oluşturulan kaynakların hiçbirini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure AI kaynaklarını silmeniz gerekir. İlişkili yapay zeka kaynağı silindiğinde kaynak grubu kaynakları silinir.
Azure AI hizmetleri için Azure Key Vault ile Müşteri Tarafından Yönetilen Anahtarları etkinleştirme işlemi ürüne göre değişir. Hizmete özgü yönergeler için şu bağlantıları kullanın:
- Bekleyen verilerin Azure OpenAI şifrelemesi
- Bekleyen verilerin şifrelenmesini Özel Görüntü İşleme
- Bekleyen verilerin Face Services şifrelemesi
- Bekleyen verilerin Belge Zekası şifrelemesi
- Bekleyen verilerin çevirici şifrelemesi
- Bekleyen verilerin dil hizmeti şifrelemesi
- Bekleyen verilerin konuşma şifrelemesi
- Bekleyen verilerin Content Moderator şifrelemesi
- Bekleyen verilerin kişiselleştirici şifrelemesi
İşlem verileri nasıl depolanır?
Azure AI, modellerde veya derleme akışlarında ince ayarlamalar yaptığınızda işlem örneği ve sunucusuz işlem için işlem kaynaklarını kullanır. Aşağıdaki tabloda işlem seçenekleri ve verilerin her biri tarafından nasıl şifrelediği açıklanmaktadır:
| İşlem | Şifreleme |
|---|---|
| İşlem örneği | Yerel karalama diski şifrelenir. |
| Sunucusuz işlem | Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenmiş işletim sistemi diski. Geçici disk şifrelenir. |
İşlem örneği İşlem örneği için işletim sistemi diski, Microsoft tarafından yönetilen depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. Proje parametresi olarak ayarlanmış TRUEşekilde oluşturulduysahbi_workspace, işlem örneğindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici disk için desteklenmez.
Sunucusuz işlem Azure Depolama'da depolanan her işlem düğümü için işletim sistemi diski Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlüdür ve hiçbir iş kuyruğa alınmadığında kümelerin ölçeği genellikle azaltılır. Temel alınan sanal makine sağlanmamıştır ve işletim sistemi diski silinir. Azure Disk Şifrelemesi işletim sistemi diski için desteklenmez.
Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
Sınırlamalar
- Şifreleme anahtarları, Azure yapay zeka kaynağında yapılandırıldığında Azure AI Hizmetleri ve Azure Depolama dahil olmak üzere Azure yapay zeka kaynağından bağımlı kaynaklara geçiş yapamaz. Şifrelemeyi her kaynak için özel olarak ayarlamanız gerekir.
- Şifreleme için müşteri tarafından yönetilen anahtar yalnızca aynı Azure Key Vault örneğindeki anahtarlara güncelleştirilebilir.
- Dağıtımdan sonra Microsoft tarafından yönetilen anahtarlardan Müşteri tarafından yönetilen anahtarlara veya tersine geçiş yapamazsınız.
- Aboneliğinizdeki Microsoft tarafından yönetilen Azure kaynak grubunda oluşturulan kaynaklar sizin tarafınızdan değiştirilemez veya oluşturma sırasında sizin tarafınızdan mevcut kaynaklar olarak sağlanamaz.
- Projenizi de silmeden müşteri tarafından yönetilen anahtarlar için kullanılan Microsoft tarafından yönetilen kaynakları silemezsiniz.