Share via

Az Azure OpenAI szolgáltatás inaktív adatok titkosítása

  • Cikk

Az Azure OpenAI automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. A titkosítás védi az adatokat, és segít teljesíteni a szervezeti biztonsági és megfelelőségi kötelezettségvállalásokat. Ez a cikk bemutatja, hogyan kezeli az Azure OpenAI az inaktív adatok titkosítását, különösen az adatok betanítását és a finomhangolt modelleket. Az Ön által a szolgáltatásnak biztosított adatok feldolgozásával, felhasználásával és tárolásával kapcsolatos információkért tekintse meg az adatokat, az adatvédelmi és a biztonsági cikket.

Tudnivalók az Azure AI-szolgáltatások titkosításáról

Az Azure OpenAI az Azure AI-szolgáltatások része. Az Azure AI-szolgáltatások adatai a FIPS 140-2 szabványnak megfelelő, 256 bites AES-titkosítással lesznek titkosítva és visszafejtve. A titkosítás és a visszafejtés transzparens, vagyis a titkosítás és a hozzáférés kezelése az Ön számára. Az adatok alapértelmezés szerint védettek, a titkosítás használatához pedig sem a kódot, sem az alkalmazást nem kell módosítania.

Tudnivalók a titkosítási kulcsok kezeléséről

Alapértelmezés szerint az előfizetés a Microsoft által felügyelt titkosítási kulcsokat használja. Az előfizetést saját, ügyfél által felügyelt kulcsokkal (CMK) is kezelheti. A CMK használata nagyobb rugalmasságot biztosít a hozzáférés-vezérlők létrehozása, rotálása, letiltása és visszavonása terén. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.

Ügyfél által felügyelt kulcsok használata az Azure Key Vaulttal

Az ügyfél által felügyelt kulcsok (CMK), más néven saját kulcs (BYOK) nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlések létrehozásához, elforgatásához, letiltásához és visszavonásához. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.

A felhasználó által kezelt kulcsok tárolásához az Azure Key Vaultot kell használnia. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy az Azure Key Vault API-kkal kulcsokat hozhat létre. Az Azure AI-szolgáltatások erőforrásának és a kulcstartónak ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lennie, de különböző előfizetésekben lehetnek. További információ az Azure Key Vaultról: Mi az Az Azure Key Vault?.

Az ügyfél által felügyelt kulcsok engedélyezéséhez a kulcsokat tartalmazó kulcstartónak meg kell felelnie az alábbi követelményeknek:

  • Engedélyeznie kell a Helyreállítható törlés és a Törlés tiltása tulajdonságot is a kulcstartón.
  • A Key Vault tűzfal használata esetén engedélyeznie kell a megbízható Microsoft-szolgáltatások számára a kulcstartó elérését.
  • A kulcstartónak örökölt hozzáférési szabályzatokat kell használnia.
  • Az Azure OpenAI-erőforrás rendszer által hozzárendelt felügyelt identitásának a következő engedélyeket kell megadnia a kulcstartón: kulcs lekérése, burkolókulcs, kulcs kibontása.

Az Azure AI-szolgáltatások titkosítása csak a 2048-es méretű RSA- és RSA-HSM-kulcsokat támogatja. További információ a kulcsokról: Key Vault-kulcsok az Azure Key Vault-kulcsokról, titkos kulcsokról és tanúsítványokról.

Az Azure OpenAI-erőforrás felügyelt identitásának engedélyezése

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását.
  2. A bal oldalon, az Erőforrás-kezelés területen válassza az Identitás lehetőséget.
  3. Kapcsolja be a rendszer által hozzárendelt felügyelt identitás állapotát.
  4. Mentse a módosításokat, és győződjön meg arról, hogy engedélyezni szeretné a rendszer által hozzárendelt felügyelt identitást.

A kulcstartó hozzáférési engedélyeinek konfigurálása

  1. Az Azure Portalon nyissa meg a kulcstartót.

  2. A bal oldalon válassza az Access-szabályzatok lehetőséget.

    Ha megjelenik egy üzenet, amely arra figyelmezteti, hogy a hozzáférési szabályzatok nem érhetők el, a folytatás előtt konfigurálja újra a kulcstartót az örökölt hozzáférési szabályzatok használatára.

  3. Válassza a Létrehozás lehetőséget.

  4. A Kulcsengedélyek csoportban válassza a Lekérés, a Tördeléskulcs és a Kulcs kibontása lehetőséget. Hagyja bejelöletlenül a többi jelölőnégyzetet.

    Screenshot of the Azure portal page for a key vault access policy. The permissions selected are Get Key, Wrap Key, and Unwrap Key.

  5. Válassza a Tovább lehetőséget.

  6. Keresse meg az Azure OpenAI-erőforrás nevét, és válassza ki a felügyelt identitását.

  7. Válassza a Tovább lehetőséget.

  8. A Tovább gombra kattintva kihagyhatja az alkalmazásbeállítások konfigurálását.

  9. Válassza a Létrehozás lehetőséget.

Ügyfél által felügyelt kulcsok engedélyezése az Azure OpenAI-erőforráson

Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását.

  2. A bal oldalon, az Erőforrás-kezelés területen válassza a Titkosítás lehetőséget.

  3. A Titkosítás típusa területen válassza az Ügyfél által kezelt kulcsok lehetőséget, ahogyan az alábbi képernyőképen látható.

    Screenshot of create a resource user experience.

Kulcs megadása

Az ügyfél által felügyelt kulcsok engedélyezése után megadhatja az Azure AI-szolgáltatások erőforrásához társítandó kulcsot.

Kulcs megadása URI-ként

A kulcs URI-ként való megadásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon nyissa meg a kulcstartót.

  2. Az Objektumok területen válassza a Kulcsok lehetőséget.

  3. Válassza ki a kívánt kulcsot, majd válassza ki a kulcsot a verzió megtekintéséhez. Válassza ki a kulcsverziót az adott verzió beállításainak megtekintéséhez.

  4. Másolja ki a kulcsazonosító értékét, amely biztosítja az URI-t.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Lépjen vissza az Azure AI-szolgáltatások erőforrásához, majd válassza a Titkosítás lehetőséget.

  6. A Titkosítási kulcs területen válassza az Enter key URI(Kulcs URI) lehetőséget.

  7. Illessze be a Kulcs URI mezőbe másolt URI-t .

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. Az Előfizetés területen válassza ki a kulcstartót tartalmazó előfizetést.

  9. Mentse a módosításokat.

Kulcs kiválasztása kulcstartóból

Ha kulcstartóból szeretne kiválasztani egy kulcsot, először győződjön meg arról, hogy rendelkezik egy kulcsot tartalmazó kulcstartóval. Ezután a következő lépéseket kell követni:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.

  2. A Titkosítási kulcs területen válassza a Kiválasztás lehetőséget a Key Vaultból.

  3. Válassza ki a használni kívánt kulcsot tartalmazó kulcstartót.

  4. Válassza ki a használni kívánt kulcsot.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Mentse a módosításokat.

A kulcsverzió frissítése

A kulcs új verziójának létrehozásakor frissítse az Azure AI-szolgáltatások erőforrását az új verzió használatára. Tegye a következők egyikét:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Adja meg az új kulcsverzió URI-jának nevét. Másik lehetőségként kiválaszthatja a kulcstartót, majd ismét kijelölheti a kulcsot a verzió frissítéséhez.
  3. Mentse a módosításokat.

Másik kulcs használata

A titkosításhoz használt kulcs módosításához kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Adja meg az új kulcs URI-jának nevét. Másik lehetőségként kiválaszthatja a kulcstartót, majd kiválaszthat egy új kulcsot.
  3. Mentse a módosításokat.

Ügyfél által felügyelt kulcsok elforgatása

Az ügyfél által felügyelt kulcsokat a megfelelőségi szabályzatoknak megfelelően elforgathatja a Key Vaultban. A kulcs elforgatásakor frissítenie kell az Azure AI-szolgáltatások erőforrását az új kulcs URI-jának használatához. Ha tudni szeretné, hogyan frissítheti az erőforrást a kulcs új verziójának használatára az Azure Portalon, olvassa el a kulcsverzió frissítése című témakört.

A kulcs elforgatása nem váltja ki az erőforrásban lévő adatok újratitkosítását. Nincs szükség további műveletre a felhasználótól.

Ügyfél által felügyelt kulcs visszavonása

Az ügyfél által felügyelt titkosítási kulcsot visszavonhatja a hozzáférési szabályzat módosításával, a kulcstartó engedélyeinek módosításával vagy a kulcs törlésével.

A beállításjegyzék által használt felügyelt identitás hozzáférési szabályzatának módosításához futtassa az az-keyvault-delete-policy parancsot:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

A kulcs egyes verzióinak törléséhez futtassa az az-keyvault-key-delete parancsot. Ehhez a művelethez kulcsok/törlési engedély szükséges.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Fontos

Az aktív, ügyfél által felügyelt kulcshoz való hozzáférés visszavonása, miközben a CMK továbbra is engedélyezve van, megakadályozza a betanítási adatok és eredményfájlok letöltését, az új modellek finomhangolását és a finomhangolt modellek üzembe helyezését. A korábban üzembe helyezett, finomhangolt modellek azonban továbbra is működnek és kiszolgálják a forgalmat, amíg az üzembe helyezéseket nem törlik.

Betanítási, érvényesítési és betanítási eredmények adatainak törlése

A Files API lehetővé teszi az ügyfelek számára a betanítási adatok feltöltését egy modell finomhangolása céljából. Ezeket az adatokat az Azure Storage tárolja az erőforrással megegyező régióban, és logikailag elkülönítve az Azure-előfizetéssel és az API hitelesítő adataival. A feltöltött fájlokat a felhasználó törölheti a DELETE API művelettel.

Finomhangolt modellek és üzembe helyezések törlése

A Finomhangolás API lehetővé teszi az ügyfelek számára, hogy a Files API-kon keresztül a szolgáltatásba feltöltött betanítási adatok alapján létrehozzák az OpenAI-modellek saját, finomhangolt verzióját. A betanított finomhangolt modellek ugyanabban a régióban vannak tárolva az Azure Storage-ban, inaktív állapotban titkosítva (Microsoft által felügyelt vagy ügyfél által felügyelt kulcsokkal), és logikailag elkülönítve az Azure-előfizetésükkel és API-hitelesítő adataikkal. A felhasználó a DELETE API művelet meghívásával törölheti a finomhangolt modelleket és üzembe helyezéseket.

Ügyfél által felügyelt kulcsok letiltása

Ha letiltja az ügyfél által felügyelt kulcsokat, az Azure AI-szolgáltatások erőforrása ezután Microsoft által felügyelt kulcsokkal lesz titkosítva. Az ügyfél által felügyelt kulcsok letiltásához kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Válassza a Microsoft Felügyelt kulcsok>mentése lehetőséget.

Amikor korábban engedélyezte az ügyfél által kezelt kulcsokat, ez lehetővé tette a rendszer által hozzárendelt felügyelt identitást is, amely a Microsoft Entra ID egyik funkciója. A rendszer által hozzárendelt felügyelt identitás engedélyezése után az erőforrás regisztrálva lesz a Microsoft Entra-azonosítóban. A regisztrációt követően a felügyelt identitás hozzáférést kap az ügyfél által felügyelt kulcs beállítása során kiválasztott Key Vaulthoz. További információ a felügyelt identitásokról.

Fontos

Ha letiltja a rendszer által hozzárendelt felügyelt identitásokat, a rendszer eltávolítja a kulcstartóhoz való hozzáférést, és az ügyfélkulcsokkal titkosított adatok többé nem lesznek elérhetők. Az adatoktól függő funkciók működése leáll.

Fontos

A felügyelt identitások jelenleg nem támogatják a címtárközi forgatókönyveket. Ha ügyfél által felügyelt kulcsokat konfigurál az Azure Portalon, a rendszer automatikusan hozzárendel egy felügyelt identitást a fedőlapok alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy az erőforrást egy Microsoft Entra-címtárból egy másikba, az erőforráshoz társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átadása a Microsoft Entra-címtárakközött gyakori kérdések és az Azure-erőforrások felügyelt identitásaival kapcsolatos ismert problémák.

Következő lépések