تشفير المترجم للبيانات الثابتة

يقوم المترجم بتشفير بياناتك التي تم تحميلها تلقائيا عند استمرارها في السحابة للمساعدة في تحقيق أهداف الأمان والتوافق التنظيمية.

حول تشفير خدمات Azure الذكاء الاصطناعي

يتم تشفير البيانات وفك تشفيرها باستخدام التشفيرFIPS 140-2متوافق مع256 بت AES. يتسم التشفير وفك التشفير بالشفافية، مما يعني أنه تتم إدارة التشفير والوصول من أجلك. بياناتك آمنة بشكل افتراضي ولن تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. إذا كنت تستخدم مستوى تسعير يدعم المفاتيح التي يديرها العميل، يمكنك مشاهدة إعدادات التشفير لموردك في قسم التشفير في مدخل Microsoft Azure، كما هو موضح في الصورة التالية.

بالنسبة للاشتراكات التي تدعم مفاتيح التشفير التي تديرها Microsoft فقط، لن يكون لديك قسم تشفير .

مفاتيح يديرها العميل باستخدام Azure Key Vault

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. هناك أيضا خيار لإدارة اشتراكك باستخدام المفاتيح الخاصة بك تسمى المفاتيح المدارة من قبل العميل (CMK). يوفر CMK قدراً أكبر من المرونة لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك. إذا تم تكوين CMK لاشتراكك، فسيتم توفير تشفير مزدوج، والذي يوفر طبقة ثانية من الحماية، مع السماح لك بالتحكم في مفتاح التشفير من خلال Azure Key Vault.

اتبع هذه الخطوات لتمكين المفاتيح التي يديرها العميل لـ المترجم:

1. إنشاء مورد خدمات المترجم الإقليمية أو الإقليمية Azure الذكاء الاصطناعي. لن تعمل المفاتيح التي يديرها العميل مع مورد عمومي.
2. تم تمكين الهوية المُدارة في مدخل Microsoft Azure، وإضافة معلومات المفتاح المُدارة بواسطة العميل.
3. قم بإنشاء مساحة عمل جديدة في المترجم المخصص وقم بإقران معلومات الاشتراك هذه.

استخدام المفاتيح المُدارة بواسطة العملاء

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح المُدارة بواسطة العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد خدمات Azure الذكاء الاصطناعي وخزنة المفاتيح في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيدٍ من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

يتم دائما تشفير مورد خدمات Azure الذكاء الاصطناعي جديد باستخدام مفاتيح تديرها Microsoft. لا يمكن تمكين المفاتيح المُدارة بواسطة العميل وقت إنشاء المورد. يتم تخزين المفاتيح التي يديرها العميل في Azure Key Vault. يجب توفير مخزن المفاتيح مع نهج الوصول التي تمنح أذونات المفتاح للهوية المدارة المقترنة بمورد خدمات Azure الذكاء الاصطناعي. تتوفر الهوية المدارة بمجرد إنشاء المورد.

لمعرفة كيفية استخدام المفاتيح المدارة من قبل العميل مع Azure Key Vault لتشفير خدمات Azure الذكاء الاصطناعي، راجع:

• تكوين المفاتيح المدارة بواسطة العميل باستخدام Key Vault لتشفير خدمات Azure الذكاء الاصطناعي من مدخل Microsoft Azure

سيؤدي تمكين المفاتيح المدارة للعميل أيضا إلى تمكين هوية مدارة معينة من قبل النظام، وهي ميزة من ميزات معرف Microsoft Entra. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، سيتم تسجيل هذا المورد بمعرف Microsoft Entra. بعد التسجيل، سيتم منح الهوية المُدارة إمكانية الوصول إلى Key Vault المحدد خلال إعداد المفتاح المُدار من قِبل العميل. يمكنك معرفة المزيد حول الهويات المُدارة.

هام

إذا قمت بتعطيل الهويات المُدارة المخصصة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل متاحاً بعد ذلك. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل. سيتم أيضاً إلغاء توزيع أي نماذج قمت بتوزيعها. سيتم حذف جميع البيانات التي تم تحميلها من المترجم المخصص. إذا تمت إعادة تمكين الهويات المدارة، فلن نعيد توزيع النموذج لك تلقائياً.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، يتم تعيين الهوية المُدارة تلقائياً ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Microsoft Entra إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra في الأسئلة المتداولة والمشكلات المعروفة مع الهويات المدارة لموارد Azure.

تخزين المفاتيح المُدارة بواسطة العميل في Azure Key Vault

لتمكين المفاتيح المُدارة من قِبل العميل، يجب عليك استخدام Azure Key Vault لتخزين المفاتيح الخاصة بك. يجب تمكين كل من خصائص الحذف الناعم وعدم الإزالة في مخزن المفاتيح.

يتم دعم مفاتيح RSA بحجم 2048 فقط مع تشفير خدمات Azure الذكاء الاصطناعي. لمزيد من المعلومات حول المفاتيح، راجع Key Vault keys في حول مفاتيح Azure Key Vault والبيانات السرية والشهادات.

إشعار

إذا تم حذف مخزن المفاتيح بالكامل، فلن يتم عرض بياناتك وسيتم إلغاء توزيع جميع النماذج الخاصة بك. سيتم حذف جميع البيانات التي تم تحميلها من المترجم المخصص.

إبطال الوصول إلى المفاتيح التي يديرها العميل

لإبطال الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI. لمزيد من المعلومات، راجع Azure Key Vault PowerShell أو Azure Key Vault CLI. يؤدي إبطال الوصول بشكل فعال إلى حظر الوصول إلى جميع البيانات في مورد خدمات Azure الذكاء الاصطناعي وسيتم إلغاء نشر نماذجك، حيث لا يمكن الوصول إلى مفتاح التشفير بواسطة خدمات Azure الذكاء الاصطناعي. سيتم أيضاً حذف جميع البيانات التي تم تحميلها من المترجم المخصص.

الخطوات التالية

تعرف على المزيد حول Azure Key Vault