Share via

Enkripsi data Azure OpenAI Service saat tidak aktif

  • Artikel

Azure OpenAI secara otomatis mengenkripsi data Anda saat disimpan ke cloud. Enkripsi melindungi data Anda dan membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Artikel ini membahas bagaimana Azure OpenAI menangani enkripsi data tidak aktif, khususnya data pelatihan dan model yang disempurnakan. Untuk informasi tentang bagaimana data yang Anda berikan kepada layanan diproses, digunakan, dan disimpan, lihat artikel data, privasi, dan keamanan.

Tentang enkripsi layanan Azure AI

Azure OpenAI adalah bagian dari layanan Azure AI. Data layanan Azure AI dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang mematuhi FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk Anda. Data Anda aman secara default, dan Anda tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.

Tentang manajemen kunci enkripsi

Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Ada juga opsi untuk mengelola langganan Anda dengan kunci Anda sendiri yang disebut kunci yang dikelola pelanggan (CMK). CMK menawarkan fleksibilitas yang lebih besar untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Menggunakan kunci yang dikelola pelanggan dengan Azure Key Vault

Kunci yang dikelola pelanggan (CMK),juga dikenal sebagai Bring Your Own Key (BYOK), menawarkan fleksibilitas yang lebih luas untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Anda harus menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola-pelanggan Anda. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Sumber daya layanan Azure AI dan brankas kunci harus berada di wilayah yang sama dan di penyewa Microsoft Entra yang sama, tetapi dapat berada di langganan yang berbeda. Untuk mengetahui informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?.

Untuk mengaktifkan kunci yang dikelola pelanggan, brankas kunci yang berisi kunci Anda harus memenuhi persyaratan ini:

  • Anda harus mengaktifkan Penghapusan Sementara dan Jangan Hapus Permanen properti pada brankas kunci.
  • Jika Anda menggunakan firewall Key Vault, Anda harus mengizinkan layanan Microsoft tepercaya untuk mengakses brankas kunci.
  • Brankas kunci harus menggunakan kebijakan akses warisan.
  • Anda harus memberikan izin berikut kepada identitas terkelola yang ditetapkan sistem sumber daya Azure OpenAI pada brankas kunci Anda: dapatkan kunci, kunci bungkus, buka bungkus kunci.

Hanya kunci RSA dan RSA-HSM berukuran 2048 yang didukung dengan enkripsi layanan Azure AI. Untuk mengetahui informasi selengkapnya tentang kunci, lihat kunci Azure Key Vault di Tentang kunci, rahasia, dan sertifikat Azure Key Vault.

Mengaktifkan identitas terkelola sumber daya Azure OpenAI Anda

  1. Buka sumber daya layanan Azure AI Anda.
  2. Di sebelah kiri, di bawah Manajemen Sumber Daya, pilih Identitas.
  3. Alihkan status identitas terkelola yang ditetapkan sistem ke Aktif.
  4. Simpan perubahan Anda, dan konfirmasikan bahwa Anda ingin mengaktifkan identitas terkelola yang ditetapkan sistem.

Mengonfigurasi izin akses brankas kunci Anda

  1. Di portal Azure, buka brankas kunci Anda.

  2. Di sebelah kiri, pilih Kebijakan akses.

    Jika Anda melihat pesan yang memberi tahu Anda bahwa kebijakan akses tidak tersedia, konfigurasi ulang brankas kunci Anda untuk menggunakan kebijakan akses warisan sebelum melanjutkan.

  3. Pilih Buat.

  4. Di bawah Izin kunci, pilih Dapatkan, Bungkus Kunci, dan Buka Bungkus Kunci. Biarkan kotak centang yang tersisa tidak dipilih.

    Screenshot of the Azure portal page for a key vault access policy. The permissions selected are Get Key, Wrap Key, and Unwrap Key.

  5. Pilih Selanjutnya.

  6. Cari nama sumber daya Azure OpenAI Anda dan pilih identitas terkelolanya.

  7. Pilih Selanjutnya.

  8. Pilih Berikutnya untuk melewati konfigurasi pengaturan aplikasi apa pun.

  9. Pilih Buat.

Mengaktifkan kunci yang dikelola pelanggan di sumber daya Azure OpenAI Anda

Untuk mengaktifkan kunci yang dikelola pelanggan di portal Azure, ikuti langkah-langkah berikut:

  1. Buka sumber daya layanan Azure AI Anda.

  2. Di sebelah kiri, di bawah Manajemen Sumber Daya, pilih Enkripsi.

  3. Di bagian Jenis enkripsi, pilih Kunci yang Dikelola Pelanggan, seperti yang diperlihatkan dalam cuplikan layar berikut.

    Screenshot of create a resource user experience.

Menentukan kunci

Setelah mengaktifkan kunci yang dikelola pelanggan, Anda dapat menentukan kunci untuk dikaitkan dengan sumber daya layanan Azure AI.

Menentukan kunci sebagai URI

Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

  1. Di portal Azure, buka brankas kunci Anda.

  2. Di bawah Objek, pilih Kunci.

  3. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

  4. Salin nilai Pengidentifikasi Kunci yang memberikan URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Kembali ke sumber daya layanan Azure AI Anda, lalu pilih Enkripsi.

  6. Di bagian Kunci enkripsi, pilih Masukkan URI kunci.

  7. Tempel URI yang Anda salin ke kotak URI Kunci.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. Di bagian Langganan , pilih langganan yang berisi brankas kunci.

  9. Simpan perubahan.

Pilih kunci dari brankas kunci

Untuk memilih kunci dari brankas kunci, pertama-tama pastikan Anda memiliki brankas kunci yang berisi kunci. Lalu ikuti langkah-langkah berikut:

  1. Buka sumber daya layanan Azure AI Anda, lalu pilih Enkripsi.

  2. Di bagian Kunci enkripsi, pilih Pilih dari Key Vault.

  3. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan.

  4. Pilih brankas kunci yang ingin Anda gunakan.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Simpan perubahan.

Perbarui versi kunci

Saat Anda membuat versi baru kunci, perbarui sumber daya layanan Azure AI untuk menggunakan versi baru. Ikuti langkah-langkah ini:

  1. Buka sumber daya layanan Azure AI Anda, lalu pilih Enkripsi.
  2. Masukkan URI untuk versi kunci baru. Atau, Anda dapat memilih brankas kunci dan pilih kunci tersebut lagi untuk memperbarui versi.
  3. Simpan perubahan.

Menggunakan kunci yang berbeda

Untuk mengubah kunci yang digunakan untuk enkripsi, ikuti langkah-langkah berikut:

  1. Buka sumber daya layanan Azure AI Anda, lalu pilih Enkripsi.
  2. Masukkan URI untuk kunci baru. Atau, Anda dapat memilih brankas kunci tersebut dan lalu memilih kunci baru.
  3. Simpan perubahan.

Memutar kunci yang dikelola pelanggan

Anda dapat memutar kunci yang dikelola pelanggan di Key Vault sesuai dengan kebijakan kepatuhan Anda. Saat kunci diputar, Anda harus memperbarui sumber daya layanan Azure AI untuk menggunakan URI kunci baru. Untuk mempelajari cara memperbarui sumber daya untuk menggunakan versi baru kunci di portal Azure, lihat Memperbarui versi kunci.

Memutar kunci tidak memicu enkripsi ulang data dalam sumber daya. Pelanggan tidak perlu melakukan tindakan lebih lanjut.

Mencabut kunci yang dikelola pelanggan

Anda dapat mencabut kunci enkripsi yang dikelola pelanggan dengan mengubah kebijakan akses, dengan mengubah izin pada brankas kunci, atau dengan menghapus kunci.

Untuk mengubah kebijakan akses identitas terkelola yang digunakan registri Anda, jalankan perintah az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Untuk menghapus versi individual kunci, jalankan perintah az-keyvault-key-delete . Operasi ini memerlukan izin kunci/hapus .

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Penting

Mencabut akses ke kunci aktif yang dikelola pelanggan saat CMK masih diaktifkan akan mencegah pengunduhan data pelatihan dan file hasil, menyempurnakan model baru, dan menyebarkan model yang disempurnakan. Namun, model yang disempurnakan sebelumnya akan terus beroperasi dan melayani lalu lintas hingga penyebaran tersebut dihapus.

Menghapus data hasil pelatihan, validasi, dan pelatihan

FILES API memungkinkan pelanggan mengunggah data pelatihan mereka untuk tujuan menyempurnakan model. Data ini disimpan di Azure Storage, dalam wilayah yang sama dengan sumber daya dan secara logis diisolasi dengan langganan Azure dan Kredensial API mereka. File yang diunggah dapat dihapus oleh pengguna melalui operasi DELETE API.

Menghapus model dan penyebaran yang disempurnakan

API Fine-tunes memungkinkan pelanggan untuk membuat versi model OpenAI yang disempurnakan sendiri berdasarkan data pelatihan yang telah Anda unggah ke layanan melalui API File. Model yang disempurnakan terlatih disimpan di Azure Storage di wilayah yang sama, dienkripsi saat tidak aktif (baik dengan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan) dan secara logis diisolasi dengan langganan Azure dan kredensial API mereka. Model dan penyebaran yang disempurnakan dapat dihapus oleh pengguna dengan memanggil operasi DELETE API.

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, sumber daya layanan Azure AI Anda kemudian dienkripsi dengan kunci yang dikelola Microsoft. Untuk menonaktifkan kunci yang dikelola pelanggan, ikuti langkah-langkah berikut:

  1. Buka sumber daya layanan Azure AI Anda, lalu pilih Enkripsi.
  2. Pilih Simpan Kunci Terkelola>Microsoft.

Ketika Anda sebelumnya mengaktifkan kunci yang dikelola pelanggan, ini juga mengaktifkan identitas terkelola yang ditetapkan sistem, fitur ID Microsoft Entra. Setelah identitas terkelola yang ditetapkan sistem diaktifkan, sumber daya ini akan didaftarkan dengan ID Microsoft Entra. Setelah terdaftar, identitas terkelola akan diberikan akses ke Azure Key Vault yang dipilih selama penyiapan kunci yang dikelola pelanggan. Pelajari selengkapnya tentang Identitas Terkelola.

Penting

Jika Anda menonaktifkan identitas terkelola yang ditetapkan sistem, akses ke brankas kunci akan dihapus dan data apa pun yang dienkripsi dengan kunci pelanggan tidak akan dapat diakses lagi. Fitur apa pun yang bergantung pada data ini akan berhenti berfungsi.

Penting

Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Microsoft Azure, identitas terkelola secara otomatis ditetapkan di bawah penutup. Jika Anda kemudian memindahkan langganan, grup sumber daya, atau sumber daya dari satu direktori Microsoft Entra ke direktori lain, identitas terkelola yang terkait dengan sumber daya tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Entra di FAQ dan masalah umum terkait identitas terkelola untuk sumber daya Azure.

Langkah berikutnya