共用方式為

適用於加密的客戶自控金鑰

  • 發行項

Azure AI 是以多項 Azure 服務為基礎建構而成。 雖然客戶數據是使用預設 Microsoft提供之加密金鑰安全地儲存,但您可以藉由提供您自己的 (客戶自控) 金鑰來增強安全性。 您提供的金鑰會安全地儲存在 Azure 金鑰保存庫 中。

必要條件

  • Azure 訂用帳戶。
  • Azure Key Vault 執行個體。 金鑰保存庫包含用來加密服務的金鑰。
    • 金鑰保存庫執行個體必須啟用虛刪除和清除保護。
    • 客戶管理金鑰所保護之服務的受控識別,必須在金鑰保存庫中具有下列許可權:
      • 包裝金鑰
      • 將金鑰解除包裝
      • get

什麼是客戶管理的金鑰?

根據預設,Microsoft會在Microsoft擁有的 Azure 訂用帳戶中建立和管理您的資源,並使用Microsoft管理的密鑰來加密數據。

當您使用客戶管理的金鑰時,這些資源會存在於您的 Azure 訂用帳戶中,並以您自己的金鑰加密。 雖然這些資源存在於您的訂用帳戶中,但這些資源仍由Microsoft管理。 前述資源會在您建立 Azure AI 資源時自動建立和設定。

這些 Microsoft 管理的資源會位於在您的訂用帳戶中建立新的 Azure 資源群組中。 除了您項目的資源群組之外,此資源群組也存在。 其會包含與金鑰搭配使用、由 Microsoft 管理的資源。 資源群組會使用 <Azure AI resource group name><GUID> 的公式來命名。 您無法變更此受控資源群組中的資源命名。

提示

如果您的 AI 資源使用私人端點,此資源群組也會包含 Microsoft 管理的 Azure 虛擬網路。 此 VNet 可用來保護受控服務與專案之間的通訊。 您無法提供自有的 VNet 來與 Microsoft 管理的資源搭配使用。 您也無法修改虛擬網路。 例如,您無法變更其使用的 IP 位址範圍。

重要

若訂用帳戶沒有足夠的配額可供這些服務使用,則會發生失敗。

重要

使用客戶自控金鑰時,由於這些資源在您的訂用帳戶中,因此您訂用帳戶的成本會較高。 若要估計成本,請使用 Azure 定價計算機

警告

請勿刪除此群組中自動建立的任何資源受控資源群組。 如果您需要刪除資源群組或其中Microsoft受控服務,您必須刪除使用它的 Azure AI 資源。 相關的 AI 資源遭到刪除時,資源群組資源也會一併刪除。

啟用客戶管理的金鑰

使用 Azure AI 服務的 Azure 金鑰保存庫 啟用客戶自控密鑰的程式會因產品而異。 可使用這些連結取得針對服務的說明:

計算資料的儲存方式

當您微調模型或建置流程時,Azure AI 會針對計算實例和無伺服器計算使用資源。 下表描述計算選項,以及每一個計算選項如何加密資料:

計算 加密
計算執行個體 本機臨時磁碟已加密。
無伺服器計算 使用 Microsoft 管理的金鑰在 Azure 儲存體中加密 OS 磁碟。 暫存磁碟已加密。

計算執行個體 計算執行個體的 OS 磁碟是由 Microsoft 管理儲存體帳戶中的 Microsoft 管理金鑰來加密。 如果是以 hbi_workspace 參數設定為 TRUE 來建立專案,則會使用 Microsoft 管理金鑰來加密計算執行個體上的本機暫存磁碟。 OS 磁碟和暫存磁碟不支援客戶自控金鑰加密。

無伺服器計算 儲存在 Azure 儲存體的每個計算節點 OS 磁碟,都會使用 Microsoft 管理金鑰進行加密。 此計算目標是暫時的,而且通常會在沒有任何作業排入佇列時縮小叢集。 底層虛擬機器已解除佈建,且 OS 磁碟已刪除。 OS 磁碟不支援 Azure 磁碟加密。

每部虛擬機器也會有本機暫存磁碟供 OS 作業使用。 如果您想要的話,可以使用磁碟來暫存定型資料。 此環境很短暫 (只在作業期間),而且加密支援僅限於系統受控金鑰。

限制

  • 在 Azure AI 資源上設定時,加密金鑰不會從 Azure AI 資源傳遞至從屬參照資源,包括 Azure AI 服務和 Azure 儲存體。 您必須在每個資源特別設定加密。
  • 客戶用於加密的自控金鑰,只能更新為相同 Azure Key Vault 執行個體中的金鑰。
  • 部署之後,您無法從 Microsoft 管理金鑰切換至客戶自控密鑰,反之亦然。
  • 訂用帳戶中於 Microsoft 管理 Azure 資源群組中建立的資源無法由您修改,也無法由您在建立時提供為現有資源。
  • 您無法只刪除用於客戶自控金鑰的 Microsoft 受控資源,而不一併刪除專案。

相關內容