Şifreleme için müşteri tarafından yönetilen anahtarlar
Azure yapay zeka, birden çok Azure hizmeti üzerine kurulmuştur. Veriler Microsoft'un sağladığı şifreleme anahtarları kullanılarak güvenli bir şekilde depolansa da, kendi (müşteri tarafından yönetilen) anahtarlarınızı sağlayarak güvenliği artırabilirsiniz. Sağladığınız anahtarlar Azure Key Vault kullanılarak güvenli bir şekilde depolanır.
Ön koşullar
Azure aboneliği.
Azure Key Vault örneği. Anahtar kasası, hizmetlerinizi şifrelemek için kullanılan anahtarları içerir.
Anahtar kasası örneğinin geçici silme ve temizleme korumasını etkinleştirmesi gerekir.
Müşteri tarafından yönetilen anahtarla güvenliği sağlanan hizmetler için yönetilen kimliğin anahtar kasasında aşağıdaki izinlere sahip olması gerekir:
- kaydırma tuşu
- unwrap tuşu
- get
Örneğin, Azure Cosmos DB için yönetilen kimliğin anahtar kasası için bu izinlere sahip olması gerekir.
Meta veriler nasıl depolanır?
Aşağıdaki hizmetler Azure AI tarafından Azure yapay zeka kaynağınızın ve projelerinizin meta verilerini depolamak için kullanılır:
| Servis | Kullanım amacı | Örnek |
|---|---|---|
| Azure Cosmos DB | Azure AI projeleriniz ve araçlarınız için meta verileri depolar | Akış oluşturma zaman damgaları, dağıtım etiketleri, değerlendirme ölçümleri |
| Azure AI Arama | AI studio içeriğinizi sorgulamaya yardımcı olmak için kullanılan dizinleri depolar. | Model dağıtım adlarınızı temel alan bir dizin |
| Azure Depolama Hesabı | Azure AI projeleri ve araçları tarafından oluşturulan yapıtları depolar | Hassas ayarlanmış modeller |
Yukarıdaki hizmetlerin tümü, Azure AI kaynağınızı ilk kez oluşturduğunuz sırada aynı anahtar kullanılarak şifrelenir ve her Azure AI kaynağı ve onunla ilişkili proje kümesi için aboneliğinizdeki yönetilen kaynak grubunda bir kez ayarlanır. Azure AI kaynağınız ve projeleriniz yönetilen kimliği kullanarak verileri okur ve yazar. Yönetilen kimliklere, veri kaynakları üzerinde rol ataması (Azure rol tabanlı erişim denetimi) kullanılarak kaynaklara erişim verilir. Sağladığınız şifreleme anahtarı, Microsoft tarafından yönetilen kaynaklarda depolanan verileri şifrelemek için kullanılır. Ayrıca çalışma zamanında oluşturulan Azure AI Search için dizinler oluşturmak için de kullanılır.
Müşteri tarafından yönetilen anahtarlar
Müşteri tarafından yönetilen bir anahtar kullanmadığınızda, Microsoft bu kaynakları Microsoft'a ait bir Azure aboneliğinde oluşturup yönetir ve verileri şifrelemek için Microsoft tarafından yönetilen bir anahtar kullanır.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, bu kaynaklar Azure aboneliğinizdedir ve anahtarınız ile şifrelenir. Bunlar aboneliğinizde mevcut olsa da, bu kaynaklar Microsoft tarafından yönetilir. Azure AI kaynağınızı oluşturduğunuzda otomatik olarak oluşturulur ve yapılandırılır.
Önemli
Müşteri tarafından yönetilen bir anahtar kullanıldığında, bu kaynaklar aboneliğinizde olduğundan aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Microsoft tarafından yönetilen bu kaynaklar, aboneliğinizde oluşturulan yeni bir Azure kaynak grubunda bulunur. Bu grup, projenizin kaynak grubuna ek olarak kullanılır. Bu kaynak grubu, anahtarınızın birlikte kullanıldığı Microsoft tarafından yönetilen kaynakları içerir. Kaynak grubu formülü <Azure AI resource group name><GUID>kullanılarak adlandırılır. Bu yönetilen kaynak grubundaki kaynakların adlandırması değiştirilemez.
Bahşiş
- Azure Cosmos DB için İstek Birimleri gerektiğinde otomatik olarak ölçeklendirilir.
- Yapay zeka kaynağınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure Sanal Ağ de içerir. Bu sanal ağ, yönetilen hizmetler ve proje arasındaki iletişimin güvenliğini sağlamak için kullanılır. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Önemli
Aboneliğinizin bu hizmetler için yeterli kotası yoksa bir hata oluşur.
Uyarı
Bu Azure Cosmos DB örneğini içeren yönetilen kaynak grubunu veya bu grupta otomatik olarak oluşturulan kaynaklardan herhangi birini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure AI kaynaklarını silmeniz gerekir. İlişkili yapay zeka kaynağı silindiğinde kaynak grubu kaynakları silinir.
Azure AI hizmetleri için Azure Key Vault ile Müşteri Tarafından Yönetilen Anahtarları etkinleştirme işlemi ürüne göre değişir. Hizmete özgü yönergeler için şu bağlantıları kullanın:
- Bekleyen verilerin Azure OpenAI şifrelemesi
- Bekleyen verilerin şifrelenmesini Özel Görüntü İşleme
- Bekleyen verilerin Face Services şifrelemesi
- Bekleyen verilerin Belge Zekası şifrelemesi
- Bekleyen verilerin Çeviri şifrelemesi
- Bekleyen verilerin dil hizmeti şifrelemesi
- Bekleyen verilerin konuşma şifrelemesi
- Bekleyen verilerin Content Moderator şifrelemesi
- Bekleyen verilerin kişiselleştirici şifrelemesi
İşlem verileri nasıl depolanır?
Azure AI, modellerde veya derleme akışlarında ince ayarlamalar yaptığınızda işlem örneği ve sunucusuz işlem için işlem kaynaklarını kullanır. Aşağıdaki tabloda işlem seçenekleri ve verilerin her biri tarafından nasıl şifrelediği açıklanmaktadır:
| İşlem | Şifreleme |
|---|---|
| İşlem örneği | Yerel karalama diski şifrelenir. |
| Sunucusuz işlem | Azure Depolama işletim sistemi diski Microsoft tarafından yönetilen anahtarlarla şifrelenir. Geçici disk şifrelenir. |
İşlem örneği İşlem örneği için işletim sistemi diski, Microsoft tarafından yönetilen depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. Proje parametresi olarak ayarlanmış TRUEşekilde oluşturulduysahbi_workspace, işlem örneğindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici disk için desteklenmez.
Sunucusuz işlem Azure Depolama depolanan her işlem düğümü için işletim sistemi diski Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlüdür ve hiçbir iş kuyruğa alınmadığında kümelerin ölçeği genellikle azaltılır. Temel alınan sanal makine sağlanmamıştır ve işletim sistemi diski silinir. Azure Disk Şifrelemesi işletim sistemi diski için desteklenmez.
Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
Sınırlamalar
- Şifreleme anahtarları, Azure yapay zeka kaynağında yapılandırıldığında Azure AI Hizmetleri ve Azure Depolama dahil olmak üzere Azure yapay zeka kaynağından bağımlı kaynaklara geçiş yapamaz. Şifrelemeyi her kaynak için özel olarak ayarlamanız gerekir.
- Şifreleme için müşteri tarafından yönetilen anahtar yalnızca aynı Azure Key Vault örneğindeki anahtarlara güncelleştirilebilir.
- Dağıtımdan sonra Microsoft tarafından yönetilen anahtarlardan Müşteri tarafından yönetilen anahtarlara veya tersine geçiş yapamazsınız.
- Aboneliğinizdeki Microsoft tarafından yönetilen Azure kaynak grubunda oluşturulan kaynaklar sizin tarafınızdan değiştirilemez veya oluşturma sırasında sizin tarafınızdan mevcut kaynaklar olarak sağlanamaz.
- Projenizi de silmeden müşteri tarafından yönetilen anahtarlar için kullanılan Microsoft tarafından yönetilen kaynakları silemezsiniz.