Azure OpenAI 服務對待用資料的加密

  • 發行項

Azure AI OpenAI 會在資料保存至雲端時自動加密資料。 加密可保護您的資料安全,並協助您符合組織安全性和合規性承諾。 本文涵蓋 Azure OpenAI 如何處理待用資料的加密,特別是定型資料和微調模型。 如需如何處理、使用及儲存您向服務所提供資料的資訊,請參閱資料、隱私權和安全性一文

關於 Azure AI 服務加密

Azure OpenAI 是 Azure AI 服務的一部分。 Azure AI 服務資料會使用符合 FIPS 140-2 規範的 256 位元 AES 加密進行加密和解密。 加密和解密是透明的,這表示加密和存取會為您管理。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。

關於加密金鑰管理

根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 您也可以選擇使用稱為客戶自控金鑰 (CMK) 的金鑰來管理訂用帳戶。 CMK 可讓您以更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。

使用 Azure 金鑰保存庫 的客戶自控金鑰

客戶管理的金鑰 (CMK),也稱為自備密鑰 (BYOK),提供更大的彈性來建立、輪替、停用和撤銷訪問控制。 您也可稽核用來保護資料的加密金鑰。

您必須使用 Azure 金鑰保存庫 來儲存客戶管理的金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,也可以使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure AI 服務資源和密鑰保存庫必須位於相同的區域和相同的 Microsoft Entra 租使用者中,但它們可以位於不同的訂用帳戶中。 如需 Azure 金鑰保存庫 的詳細資訊,請參閱什麼是 Azure 金鑰保存庫?

若要啟用客戶自控金鑰,您必須也在金鑰保存庫上啟用 [虛刪除] 和 [不要清除] 屬性。

Azure AI 服務加密只支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊,請參閱關於 Azure 金鑰保存庫 金鑰、秘密和憑證中的 金鑰保存庫 金鑰

為您的資源啟用客戶管理的金鑰

若要在 Azure 入口網站 中啟用客戶管理的金鑰,請遵循下列步驟:

  1. 移至您的 Azure AI 服務資源。
  2. 在左側,選取 [ 加密]。
  3. 在 [加密類型] 底下,選取 [客戶管理的密鑰],如下列螢幕快照所示。

Screenshot of create a resource user experience

指定索引鍵

啟用客戶自控金鑰後,您可指定與 Azure AI 服務資源建立關聯的金鑰。

將金鑰指定為 URI

若要將金鑰指定為 URI,請遵循下列步驟:

  1. 在 Azure 入口網站 中,移至您的金鑰保存庫。

  2. 在 [設定] 底,選取 [金鑰]。

  3. 選取所需的金鑰,然後選取金鑰以檢視其版本。 選取金鑰版本以檢視該版本的設定。

  4. 複製提供 URI 的 金鑰識別碼 值。

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. 返回 Azure AI 服務資源,並選取 [加密]。

  6. 在 [加密金鑰] 底下,選取 [輸入金鑰 URI]。

  7. 將您複製的 URI 貼到 [金鑰 URI] 方塊中。

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. 在 [訂用帳戶] 底下,選取包含密鑰保存庫的訂用帳戶。

  9. 儲存您的變更。

從金鑰保存庫指定金鑰

若要從金鑰保存庫指定金鑰,請先確定您有包含金鑰的金鑰保存庫。 接著,依照下列步驟執行:

  1. 前往 Azure AI 服務資源,並選取 [加密]。

  2. 在 [加密金鑰] 底下,選取 [從 金鑰保存庫 選取]。

  3. 選取包含您要使用的金鑰的金鑰保存庫。

  4. 選取您想要使用的金鑰。

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. 儲存您的變更。

更新金鑰版本

當建立新版本的金鑰時,請更新 Azure AI 服務資源,以使用新的版本。 執行下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 輸入新金鑰版本的 URI。 或者,您可以選取金鑰保存庫,然後再次選取金鑰以更新版本。
  3. 儲存您的變更。

使用不同的金鑰

若要變更用於加密的金鑰,請遵循下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 輸入新金鑰的 URI。 或者,您可以選取金鑰保存庫,然後選取新的金鑰。
  3. 儲存您的變更。

輪替客戶管理的金鑰

您可以根據您的合規性政策,在 金鑰保存庫 中輪替客戶管理的密鑰。 輪替金鑰時,您必須更新 Azure AI 服務資源,以使用新的金鑰 URI。 若要瞭解如何更新資源以在 Azure 入口網站 中使用新版本的金鑰,請參閱更新密鑰版本

輪替金鑰不會觸發資源中的數據重新加密。 使用者不需要採取進一步的動作。

撤銷客戶管理的金鑰

您可以藉由變更存取原則、變更密鑰保存庫的許可權,或刪除金鑰,來撤銷客戶管理的加密密鑰。

若要變更登錄所使用的受控識別存取原則,請執行 az-keyvault-delete-policy 命令:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

若要刪除個別版本的密鑰,請執行 az-keyvault-key-delete 命令。 此作業需要 金鑰/刪除 許可權。

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

重要

在 CMK 仍處於啟用狀態時,撤銷對作用中客戶管理金鑰的存取權限將會阻止定型資料和結果檔案的下載、新模型的微調,以及微調模型的部署。 不過,先前部署的微調模型將會繼續運作並提供服務,直到刪除這些部署為止。

刪除定型、驗證和定型結果資料

檔案 API 可讓客戶上傳其定型資料,以便針對模型進行微調。 資料會儲存在與資源相同區域中的 Azure 儲存體中,並以邏輯方式與其 Azure 訂用帳戶和 API 認證隔離。 使用者可以透過 DELETE API 作業來刪除上傳的檔案。

刪除微調的模型和部署

微調 API 可讓客戶根據您已透過檔案 API 上傳至服務的定型資料,從而建立自己的 OpenAI 模型微調版本。 經過定型的微調模型會儲存在相同區域中的 Azure 儲存體中,使用待用 (Microsoft 管理的金鑰或客戶自控金鑰) 進行加密,並以邏輯方式與其 Azure 訂用帳戶和 API 認證隔離。 您可以藉由呼叫刪除 API 作業來刪除微調的模型和部署。

停用客戶管理的金鑰

當停用客戶自控金鑰時,您的 Azure AI 服務資源就會使用 Microsoft 受控金鑰進行加密。 若要停用客戶管理的金鑰,請遵循下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 選取 [Microsoft 自控金鑰]>[儲存]。

當您先前啟用客戶管理密鑰時,這也會啟用系統指派的受控識別,這是 Microsoft Entra ID 的功能。 啟用系統指派的受控識別之後,此資源將會向 Microsoft Entra 識別元註冊。 註冊之後,受控識別會獲得客戶管理密鑰設定期間所選取 金鑰保存庫的存取權。 您可以深入瞭解 受控識別

重要

如果您停用系統指派的受控識別,將會移除密鑰保存庫的存取權,且使用客戶密鑰加密的任何資料將無法再存取。 任何相依於此數據的功能都會停止運作。

重要

受控識別目前不支援跨目錄案例。 當您在 Azure 入口網站 中設定客戶管理的金鑰時,系統會自動在涵蓋下指派受控識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別不會傳輸到新的租使用者,因此客戶管理的密鑰可能無法再運作。 如需詳細資訊,請參閱在常見問題中的 Microsoft Entra 目錄之間傳輸訂用帳戶,以及 Azure 資源的受控識別已知問題。

下一步