Kunci yang dikelola pelanggan untuk enkripsi
Azure AI dibangun di atas beberapa layanan Azure. Meskipun data disimpan dengan aman menggunakan kunci enkripsi yang disediakan Microsoft, Anda dapat meningkatkan keamanan dengan menyediakan kunci Anda sendiri (dikelola pelanggan). Kunci yang Anda berikan disimpan dengan aman menggunakan Azure Key Vault.
Prasyarat
Langganan Azure.
Instans Azure Key Vault. Brankas kunci berisi kunci yang digunakan untuk mengenkripsi layanan Anda.
Instans brankas kunci harus mengaktifkan perlindungan terhadap penghapusan sementara dan penghapusan menyeluruh.
Identitas terkelola untuk layanan yang diamankan oleh kunci yang dikelola pelanggan harus memiliki izin berikut di brankas kunci:
- kunci bungkus
- kunci buka bungkus
- get
Misalnya, identitas terkelola untuk Azure Cosmos DB harus memiliki izin tersebut ke brankas kunci.
Bagaimana metadata disimpan
Layanan berikut digunakan oleh Azure AI untuk menyimpan metadata untuk sumber daya dan proyek Azure AI Anda:
| Layanan | Untuk apa digunakan | Contoh |
|---|---|---|
| Azure Cosmos DB | Menyimpan metadata untuk proyek dan alat Azure AI Anda | Tanda waktu pembuatan alur, tag penyebaran, metrik evaluasi |
| Pencarian Azure AI | Menyimpan indeks yang digunakan untuk membantu mengkueri konten studio AI Anda. | Indeks berdasarkan nama penyebaran model Anda |
| Akun Azure Storage | Menyimpan artefak yang dibuat oleh proyek dan alat Azure AI | Model yang disempurnakan |
Semua layanan di atas dienkripsi menggunakan kunci yang sama pada saat Anda membuat sumber daya Azure AI untuk pertama kalinya, dan disiapkan dalam grup sumber daya terkelola di langganan Anda sekali untuk setiap sumber daya Azure AI dan serangkaian proyek yang terkait dengannya. Sumber daya dan proyek Azure AI Anda membaca dan menulis data menggunakan identitas terkelola. Identitas terkelola diberikan akses ke sumber daya menggunakan penetapan peran (kontrol akses berbasis peran Azure) pada sumber daya data. Kunci enkripsi yang Anda berikan digunakan untuk mengenkripsi data yang disimpan pada sumber daya yang dikelola Microsoft. Ini juga digunakan untuk membuat indeks untuk Azure AI Search, yang dibuat saat runtime.
Kunci yang dikelola pelanggan
Saat Anda tidak menggunakan kunci yang dikelola pelanggan, Microsoft membuat dan mengelola sumber daya ini dalam langganan Microsoft Azure yang dimiliki dan menggunakan kunci yang dikelola Microsoft guna mengenkripsi data.
Saat Anda menggunakan kunci yang dikelola pelanggan, sumber daya ini ada di langganan Azure Anda dan dienkripsi dengan kunci Anda. Meskipun ada di langganan Anda, sumber daya ini dikelola oleh Microsoft. Mereka secara otomatis dibuat dan dikonfigurasi saat Anda membuat sumber daya Azure AI Anda.
Penting
Saat menggunakan kunci yang dikelola pelanggan, biaya untuk langganan Anda akan lebih tinggi karena sumber daya ini ada dalam langganan Anda. Untuk memperkirakan biaya, gunakan Kalkulator harga Azure.
Sumber daya yang dikelola Microsoft ini terletak di grup sumber daya Azure baru yang dibuat di langganan Anda. Grup ini selain grup sumber daya untuk proyek Anda. Grup sumber daya ini berisi sumber daya yang dikelola Microsoft yang digunakan kunci Anda. Grup sumber daya diberi nama menggunakan rumus <Azure AI resource group name><GUID>. Tidak dimungkinkan untuk mengubah penamaan sumber daya dalam grup sumber daya terkelola ini.
Tip
- Unit Permintaan untuk Azure Cosmos DB otomatis diskalakan sesuai kebutuhan.
- Jika sumber daya AI Anda menggunakan titik akhir privat, grup sumber daya ini juga akan berisi Azure Virtual Network yang dikelola Microsoft. VNet ini digunakan untuk mengamankan komunikasi antara layanan terkelola dan proyek. Anda tidak dapat menyediakan VNet Anda sendiri untuk digunakan dengan sumber daya yang dikelola Microsoft. Anda juga tidak dapat mengubah jaringan virtual. Misalnya, Anda tidak dapat mengubah rentang alamat IP yang digunakannya.
Penting
Jika langganan Anda tidak memiliki kuota yang cukup untuk layanan ini, kegagalan akan terjadi.
Peringatan
Jangan hapus grup sumber daya terkelola yang berisi instans Azure Cosmos DB ini, atau sumber daya apa pun yang dibuat secara otomatis dalam grup ini. Jika Anda perlu menghapus grup sumber daya atau layanan yang dikelola Microsoft di dalamnya, Anda harus menghapus sumber daya Azure AI yang menggunakannya. Sumber daya grup sumber daya dihapus saat sumber daya AI terkait dihapus.
Proses untuk mengaktifkan Kunci yang Dikelola Pelanggan dengan Azure Key Vault untuk layanan Azure AI bervariasi menurut produk. Gunakan tautan ini untuk instruksi khusus layanan:
- Enkripsi data Azure OpenAI tidak aktif
- Enkripsi data Visi Kustom saat tidak aktif
- Enkripsi data Layanan Wajah saat tidak aktif
- Enkripsi data Kecerdasan Dokumen tidak aktif
- Enkripsi data penerjemah saat tidak aktif
- Enkripsi layanan bahasa data tidak aktif
- Enkripsi data ucapan saat tidak aktif
- Enkripsi data Moderator Konten saat tidak aktif
- Enkripsi data QnA Maker saat tidak aktif
Cara data komputasi disimpan
Azure AI menggunakan sumber daya komputasi untuk instans komputasi dan komputasi tanpa server saat Anda menyempurnakan model atau alur build. Tabel berikut menjelaskan opsi komputasi dan cara data dienkripsi oleh masing-masing:
| Compute | Enkripsi |
|---|---|
| Hitung intance | Disk awal lokal dienkripsi. |
| Komputasi tanpa server | Disk OS dienkripsi dalam Azure Storage dengan kunci yang dikelola Microsoft. Disk sementara dienkripsi. |
Instans komputasi Disk OS untuk instans komputasi dienkripsi dengan kunci yang dikelola Microsoft di akun penyimpanan yang dikelola Microsoft. Jika proyek dibuat dengan parameter yang hbi_workspace diatur ke TRUE, disk sementara lokal pada instans komputasi dienkripsi dengan kunci terkelola Microsoft. Enkripsi kunci yang dikelola pelanggan tidak didukung untuk OS dan disk sementara.
Komputasi tanpa server Disk OS untuk setiap simpul komputasi yang disimpan di Azure Storage dienkripsi dengan kunci yang dikelola Microsoft. Target komputasi ini bersifat sementara, dan kluster biasanya menurunkan skala ketika tidak ada pekerjaan yang mengantre. Komputer virtual yang mendasarinya dibatalkan provisinya, dan disk OS dihapus. Azure Disk Encryption tidak didukung untuk disk OS.
Setiap komputer virtual juga memiliki disk sementara lokal untuk operasi OS. Jika mau, Anda dapat menggunakan disk untuk menggelar data pelatihan. Lingkungan ini berumur pendek (hanya selama Anda menjalankannya) dan dukungan enkripsi hanya terbatas pada kunci yang dikelola sistem.
Batasan
- Kunci enkripsi tidak diturunkan dari sumber daya Azure AI ke sumber daya dependen termasuk Azure AI Services dan Azure Storage saat dikonfigurasi pada sumber daya Azure AI. Anda harus mengatur enkripsi khusus pada setiap sumber daya.
- Kunci yang dikelola pelanggan untuk enkripsi hanya dapat diperbarui ke kunci dalam instans Azure Key Vault yang sama.
- Setelah penyebaran, Anda tidak dapat beralih dari kunci yang dikelola Microsoft ke kunci yang dikelola pelanggan atau sebaliknya.
- Sumber daya yang dibuat di grup sumber daya Azure yang dikelola Microsoft dalam langganan Anda tidak dapat dimodifikasi oleh Anda atau disediakan oleh Anda pada saat pembuatan sebagai sumber daya yang ada.
- Anda tidak dapat menghapus sumber daya yang dikelola Microsoft yang digunakan untuk kunci yang dikelola pelanggan tanpa juga menghapus proyek Anda.
Langkah berikutnya
- Formulir Permintaan Kunci yang Dikelola Pelanggan layanan Azure AI masih diperlukan untuk Moderator Ucapan dan Konten.
- Apa itu Azure Key Vault?