Clés gérées par le client pour le chiffrement
Azure AI s’appuie sur plusieurs services Azure. Tandis que les données sont stockées de manière sécurisée à l’aide de clés de chiffrement fournies par Microsoft, vous pouvez améliorer la sécurité en fournissant vos propres clés (gérées par le client). Les clés que vous fournissez sont stockées de manière sécurisée avec Azure Key Vault.
Prérequis
Un abonnement Azure.
Une instance Azure Key Vault. Le coffre de clés contient la ou les clés utilisées pour chiffrer vos services.
L’instance du coffre de clés doit activer la suppression réversible et la protection de purge.
L’identité managée utilisée pour les services sécurisés par une clé gérée par le client doit disposer des autorisations suivantes dans le coffre de clés :
- Inclure la clé
- Ne pas inclure la clé
- get
Par exemple, l’identité managée pour Azure Cosmos DB doit disposer de ces autorisations sur le coffre de clés.
Stockage des métadonnées
Les services suivants sont utilisés par Azure AI pour stocker les métadonnées de vos ressources et projets Azure AI :
| Service | Champ d’utilisation | Exemple |
|---|---|---|
| Azure Cosmos DB | Stocke les métadonnées de vos projets et outils Azure AI | Horodatages de création de flux, balises de déploiement, métriques d’évaluation |
| Recherche Azure AI | Stocke les index utilisés pour interroger votre contenu AI Studio. | Index basé sur les noms de déploiement de votre modèle |
| Compte Stockage Azure | Stocke les artefacts créés par les projets et outils Azure AI | Modèle ajusté |
Tous les services ci-dessus sont chiffrés à l’aide de la même clé au moment où vous créez votre ressource Azure AI pour la première fois et sont configurés dans un groupe de ressources managées dans votre abonnement une fois pour chaque ressource Azure AI et l’ensemble de projets qui lui sont associés. Votre ressource et vos projets Azure AI lisent et écrivent des données à l’aide d’une identité managée. Les identités managées ont accès aux ressources grâce à une attribution de rôle (contrôle d’accès en fonction du rôle Azure) sur les ressources de données. La clé de chiffrement que vous fournissez est utilisée pour chiffrer les données stockées sur les ressources gérées par Microsoft. Elles sont également utilisées pour créer des index pour Azure AI Search, au moment de l’exécution.
Clés gérées par le client
Quand vous n’utilisez pas de clés gérées par le client, Microsoft crée et gère ces ressources dans un abonnement Azure qui lui appartient et utilise une clé gérée par Microsoft pour chiffrer les données.
Quand vous utilisez une clé gérée par le client, ces ressources se trouvent dans votre abonnement Azure et sont chiffrées avec votre clé. Si elles existent dans votre abonnement, ces ressources sont gérées par Microsoft. Elles sont automatiquement créées et configurées quand vous créez votre ressource Azure AI.
Important
Quand vous utilisez une clé gérée par le client, les coûts de votre abonnement sont plus élevés car ces ressources se trouvent dans votre abonnement. Pour estimer les coûts, utilisez la calculatrice de prix Azure.
Ces ressources gérées par Microsoft se trouvent dans un nouveau groupe de ressources Azure créé dans votre abonnement. Ce groupe s’ajoute au groupe de ressources de votre projet. Ce groupe de ressources contient les ressources managées par Microsoft avec lesquelles votre clé est utilisée. Le groupe de ressources est nommé à l’aide de la formule <Azure AI resource group name><GUID>. Il n’est pas possible de modifier l’affectation des noms des ressources dans ce groupe de ressources managées.
Conseil
- Les unités de requête pour Azure Cosmos DB se mettent automatiquement à l’échelle en fonction des besoins.
- Si votre ressource AI utilise un point de terminaison privé, ce groupe de ressources contient également un réseau virtuel Azure géré par Microsoft. Ce réseau virtuel est utilisé pour sécuriser les communications entre les services gérés et le projet. Vous ne pouvez pas fournir votre propre réseau virtuel pour l’utiliser avec les ressources gérées par Microsoft. Vous ne pouvez pas non plus modifier le réseau virtuel. Par exemple, vous ne pouvez pas modifier la plage d’adresses IP qu’elle utilise.
Important
Si votre abonnement ne dispose pas d’un quota suffisant pour ces services, une défaillance se produit.
Avertissement
Ne supprimez pas le groupe de ressources managées qui contient cette instance Azure Cosmos DB, ni les ressources créées automatiquement dans ce groupe. Si vous avez besoin de supprimer le groupe de ressources ou les services gérés par Microsoft qu’il contient, vous devez supprimer les ressources Azure AI qui l’utilisent. Les ressources incluses dans le groupe de ressources sont supprimées quand la ressource AI associée est supprimée.
Le processus d’activation des clés gérées par le client avec Azure Key Vault pour Azure AI services varie d’un produit à l’autre. Utilisez les liens ci-après pour obtenir des instructions propres au service :
- Chiffrement Azure OpenAI des données au repos
- Chiffrement Custom Vision des données au repos
- Chiffrement des données au repos des services Visage
- Chiffrement Intelligence documentaire des données au repos
- Chiffrement des données au repos du traducteur
- Chiffrement des données d’un service de langage au repos
- Chiffrement des données au repos Speech
- Chiffrement des données au repos de Content Moderator
- Chiffrement des données au repos de Personalizer
Mode de stockage des données de calcul
Azure AI utilise des ressources de calcul pour l’instance de calcul et le calcul serverless quand vous affinez des modèles ou que vous générez des flux. Le tableau suivant décrit les options de calcul et la façon dont les données sont chiffrées par chacune d’elles :
| Calcul | Chiffrement |
|---|---|
| Instance de calcul | Le disque de travail local est chiffré. |
| Calcul serverless | Le disque du système d’exploitation est chiffré dans Stockage Azure avec des clés gérées par Microsoft. Le disque temporaire est chiffré. |
Instance de calcul : le disque de système d’exploitation de l’instance de calcul est chiffré à l’aide de clés gérées par Microsoft dans les comptes de stockage gérés par Microsoft. Si le projet a été créé avec le paramètre hbi_workspace défini sur TRUE, le disque temporaire local situé sur l’instance de calcul est chiffré à l’aide de clés gérées par Microsoft. Le chiffrement à l’aide de clés gérés par le client n’est pas pris en charge pour le système d’exploitation et le disque temporaire.
Calcul serverless Le disque de système d’exploitation de chaque nœud de calcul stocké dans Stockage Azure est chiffré à l’aide de clés gérées par Microsoft. Cette cible de calcul est éphémère et les clusters font généralement l’objet d’un scale-down quand aucune tâche n’est placée en file d’attente. La machine virtuelle sous-jacente est déprovisionnée et le disque de système d’exploitation supprimé. Azure Disk Encryption n’est pas pris en charge pour le disque de système d’exploitation.
Chaque machine virtuelle dispose également d’un disque temporaire local pour les opérations de système d’exploitation. Si vous le souhaitez, vous pouvez utiliser le disque pour indexer les données d’entraînement. Cet environnement ne perdure que pendant la durée de votre tâche et la prise en charge du chiffrement est limitée aux clés gérées par le système uniquement.
Limites
- Les clés de chiffrement ne passent pas de la ressource Azure AI aux ressources dépendantes, notamment Azure AI Services et Stockage Azure, lorsqu’elles sont configurées sur la ressource Azure AI. Vous devez définir le chiffrement spécifiquement sur chaque ressource.
- La clé gérée par le client pour le chiffrement ne peut être mise à jour que sur des clés dans la même instance Azure Key Vault.
- Après le déploiement, vous ne pouvez pas passer des clés gérées par Microsoft aux clés gérées par le client ou inversement.
- Les ressources créées dans le groupe de ressources Azure géré par Microsoft dans votre abonnement ne peuvent pas être modifiées ou fournies par vous au moment de la création en tant que ressources existantes.
- Vous ne pouvez pas supprimer les ressources gérées par Microsoft utilisées pour les clés gérées par le client sans supprimer également votre projet.
Étapes suivantes
- Le formulaire de demande de clé gérée par le client Azure AI Services est toujours requis pour Speech et Content Moderator.
- Qu’est-ce qu’Azure Key Vault ?