Ügyfél által felügyelt kulcsok titkosításhoz
Az Azure AI több Azure-szolgáltatásra épül. Bár az adatok biztonságos tárolása a Microsoft által biztosított titkosítási kulcsokkal történik, saját (ügyfél által felügyelt) kulcsok biztosításával növelheti a biztonságot. A megadott kulcsokat biztonságosan tároljuk az Azure Key Vault használatával.
Előfeltételek
Azure-előfizetés.
Egy Azure Key Vault-példány. A kulcstartó tartalmazza a szolgáltatások titkosításához használt kulcs(ok)t.
A kulcstartópéldánynak engedélyeznie kell a helyreállítható törlést és a törlés elleni védelmet.
Az ügyfél által felügyelt kulccsal védett szolgáltatások felügyelt identitásának a következő engedélyekkel kell rendelkeznie a Key Vaultban:
- wrap key
- kulcs kibontása
- get
Az Azure Cosmos DB felügyelt identitásának például rendelkeznie kell ezekkel az engedélyekkel a kulcstartóhoz.
A metaadatok tárolása
Az Azure AI a következő szolgáltatásokat használja az Azure AI-erőforrás és -projektek metaadatainak tárolására:
| Szolgáltatás | Alkalmazási cél | Példa |
|---|---|---|
| Azure Cosmos DB | Az Azure AI-projektek és -eszközök metaadatait tárolja | Folyamatlétrehozási időbélyegek, üzembehelyezési címkék, értékelési metrikák |
| Azure AI Search | Az AI Studio-tartalmak lekérdezéséhez használt indexek. | Index a modell üzembehelyezési nevei alapján |
| Azure Storage Account | Az Azure AI-projektek és -eszközök által létrehozott összetevőket tárolja | Finomhangolt modellek |
A fenti szolgáltatások mindegyike ugyanazzal a kulccsal van titkosítva, amikor első alkalommal hozza létre az Azure AI-erőforrást, és az előfizetésben egy felügyelt erőforráscsoportban van beállítva minden Azure AI-erőforráshoz és az ahhoz társított projektekhez. Az Azure AI-erőforrás és -projektek felügyelt identitással olvasnak és írnak adatokat. A felügyelt identitások egy szerepkör-hozzárendeléssel (Azure szerepköralapú hozzáférés-vezérléssel) kapnak hozzáférést az erőforrásokhoz az adaterőforrásokon. A megadott titkosítási kulcs a Microsoft által felügyelt erőforrásokon tárolt adatok titkosítására szolgál. Emellett indexeket is létrehoz az Azure AI Search szolgáltatáshoz, amelyek futásidőben jönnek létre.
Felhasználó által kezelt kulcsok
Ha nem használ ügyfél által felügyelt kulcsot, a Microsoft létrehozza és kezeli ezeket az erőforrásokat egy Microsoft-tulajdonú Azure-előfizetésben, és egy Microsoft által felügyelt kulccsal titkosítja az adatokat.
Ha ügyfél által felügyelt kulcsot használ, ezek az erőforrások az Azure-előfizetésben találhatók, és titkosítva vannak a kulccsal. Bár az előfizetésében léteznek, ezeket az erőforrásokat a Microsoft kezeli. Az Azure AI-erőforrás létrehozásakor a rendszer automatikusan létrehozza és konfigurálja őket.
Fontos
Ügyfél által felügyelt kulcs használata esetén az előfizetés költségei magasabbak lesznek, mivel ezek az erőforrások az előfizetésben találhatók. A költségek becsléséhez használja az Azure díjkalkulátorát.
Ezek a Microsoft által felügyelt erőforrások egy új Azure-erőforráscsoportban találhatók, amely az előfizetésben jön létre. Ez a csoport a projekt erőforráscsoportja mellett van. Ez az erőforráscsoport tartalmazza azokat a Microsoft által felügyelt erőforrásokat, amelyekkel a kulcs használható. Az erőforráscsoport neve a következő képlet <Azure AI resource group name><GUID>használatával történik: . Ebben a felügyelt erőforráscsoportban nem módosítható az erőforrások elnevezése.
Tipp.
- Az Azure Cosmos DB kérelemegységei szükség szerint automatikusan skálázhatók.
- Ha az AI-erőforrás privát végpontot használ, ez az erőforráscsoport egy Microsoft által felügyelt Azure-beli virtuális hálózatot is tartalmaz. Ez a virtuális hálózat a felügyelt szolgáltatások és a projekt közötti kommunikáció védelmére szolgál. A Microsoft által felügyelt erőforrásokhoz nem adhat meg saját virtuális hálózatot. A virtuális hálózatot sem módosíthatja. Például nem módosíthatja a használt IP-címtartományt.
Fontos
Ha az előfizetése nem rendelkezik elegendő kvótával ezekhez a szolgáltatásokhoz, hiba történik.
Figyelmeztetés:
Ne törölje az Azure Cosmos DB-példányt tartalmazó felügyelt erőforráscsoportot, sem a csoportban automatikusan létrehozott erőforrásokat. Ha törölnie kell az erőforráscsoportot vagy a Microsoft által felügyelt szolgáltatásokat, törölnie kell az azt használó Azure AI-erőforrásokat. Az erőforráscsoport erőforrásai a társított AI-erőforrás törlésekor törlődnek.
Az Ügyfél által felügyelt kulcsok Azure Key Vaulttal való engedélyezésének folyamata az Azure AI-szolgáltatásokhoz termékenként változik. A szolgáltatásspecifikus utasításokhoz használja az alábbi hivatkozásokat:
- Inaktív adatok Azure OpenAI-titkosítása
- Inaktív adatok Custom Vision-titkosítása
- A Face Services inaktív adatok titkosítása
- Inaktív adatok dokumentumintelligencia-titkosítása
- Inaktív adatok translator-titkosítása
- A nyelvi szolgáltatás inaktív adatok titkosítása
- Inaktív adatok beszédtitkosítása
- Inaktív adatok Content Moderator-titkosítása
- Az inaktív adatok személyre szabása
Számítási adatok tárolása
Az Azure AI számítási erőforrásokat használ a számítási példányokhoz és a kiszolgáló nélküli számításhoz a modellek vagy folyamatok finomhangolásakor. Az alábbi táblázat a számítási lehetőségeket és az egyes adatok titkosításának módját ismerteti:
| Compute | Encryption |
|---|---|
| Számítási példány | A helyi lemez titkosítva van. |
| Kiszolgáló nélküli számítástechnika | Az Azure Storage-ban titkosított operációsrendszer-lemez Microsoft által felügyelt kulcsokkal. Az ideiglenes lemez titkosítva van. |
Számítási példány A számítási példány operációsrendszer-lemeze a Microsoft által felügyelt tárfiókokban lévő Microsoft által felügyelt kulcsokkal van titkosítva. Ha a projekt a hbi_workspace következő paraméterrel TRUElett létrehozva, a számítási példány helyi ideiglenes lemeze a Microsoft által felügyelt kulcsokkal lesz titkosítva. Az ügyfél által felügyelt kulcstitkosítás operációs rendszer és ideiglenes lemez esetén nem támogatott.
Kiszolgáló nélküli számítás Az Azure Storage-ban tárolt összes számítási csomópont operációsrendszer-lemeze Microsoft által felügyelt kulcsokkal van titkosítva. Ez a számítási cél rövid élettartamú, és a fürtök általában le vannak skálázva, ha nincsenek várólistán lévő feladatok. A mögöttes virtuális gép ki van építve, és az operációsrendszer-lemez törlődik. Az Azure Disk Encryption nem támogatott az operációsrendszer-lemezen.
Minden virtuális gép helyi ideiglenes lemezzel is rendelkezik az operációs rendszer műveleteihez. Ha szeretné, a lemez használatával szakaszosítheti a betanítási adatokat. Ez a környezet rövid élettartamú (csak a feladat során), a titkosítási támogatás pedig csak a rendszer által felügyelt kulcsok esetében használható.
Limitations
- A titkosítási kulcsok nem lesznek átadva az Azure AI-erőforrásból a függő erőforrásoknak, például az Azure AI-szolgáltatásoknak és az Azure Storage-nak, ha az Azure AI-erőforráson van konfigurálva. A titkosítást külön kell beállítania az egyes erőforrásokon.
- Az ügyfél által felügyelt titkosítási kulcs csak ugyanabban az Azure Key Vault-példányban lévő kulcsokra frissíthető.
- Az üzembe helyezés után nem válthat a Microsoft által felügyelt kulcsról ügyfél által felügyelt kulcsra, vagy fordítva.
- A Microsoft által felügyelt Azure-erőforráscsoportban létrehozott erőforrásokat ön nem módosíthatja, és a létrehozáskor ön nem adhatja meg meglévő erőforrásként.
- Az ügyfél által felügyelt kulcsokhoz használt Microsoft által felügyelt erőforrások nem törölhetők a projekt törlése nélkül.
Következő lépések
- Az Azure AI-szolgáltatások ügyfél által felügyelt kulcskérelem-űrlapja továbbra is szükséges a Speech és a Content Moderator esetében.
- Mi az Azure Key Vault?