Chiavi gestite dal cliente per la crittografia
L'intelligenza artificiale di Azure si basa su più servizi di Azure. Mentre i dati vengono archiviati in modo sicuro usando chiavi di crittografia fornite da Microsoft, è possibile migliorare la sicurezza fornendo chiavi personalizzate (gestite dal cliente). Le chiavi fornite vengono archiviate in modo sicuro con Azure Key Vault.
Prerequisiti
Una sottoscrizione di Azure.
Istanza di Azure Key Vault. L'insieme di credenziali delle chiavi contiene le chiavi usate per crittografare i servizi.
L'istanza dell'insieme di credenziali delle chiavi deve abilitare l'eliminazione temporanea e la protezione dall'eliminazione.
L'identità gestita per i servizi protetti da una chiave gestita dal cliente deve avere le autorizzazioni seguenti nell'insieme di credenziali delle chiavi:
- Capovolse la chiave
- annullare il wrapping della chiave
- get
Ad esempio, l'identità gestita per Azure Cosmos DB deve avere tali autorizzazioni per l'insieme di credenziali delle chiavi.
Modalità di archiviazione dei metadati
I servizi seguenti vengono usati dall'intelligenza artificiale di Azure per archiviare i metadati per le risorse e i progetti di Intelligenza artificiale di Azure:
| Servizioo | Scopo | Esempio |
|---|---|---|
| Azure Cosmos DB | Archivia i metadati per i progetti e gli strumenti di Intelligenza artificiale di Azure | Timestamp di creazione del flusso, tag di distribuzione, metriche di valutazione |
| Ricerca di intelligenza artificiale di Azure | Archivia gli indici usati per eseguire query sui contenuti di AI Studio. | Indice basato sui nomi di distribuzione del modello |
| Account di archiviazione di Azure | Archivia gli artefatti creati da progetti e strumenti di Intelligenza artificiale di Azure | Modelli ottimizzati |
Tutti i servizi precedenti vengono crittografati usando la stessa chiave al momento della creazione della risorsa di Intelligenza artificiale di Azure per la prima volta e vengono configurati in un gruppo di risorse gestite nella sottoscrizione una volta per ogni risorsa di Intelligenza artificiale di Azure e set di progetti associati. La risorsa e i progetti di Intelligenza artificiale di Azure leggono e scrivono dati usando l'identità gestita. Alle identità gestite viene concesso l'accesso alle risorse usando un'assegnazione di ruolo (controllo degli accessi in base al ruolo di Azure) nelle risorse dati. La chiave di crittografia specificata viene usata per crittografare i dati archiviati nelle risorse gestite da Microsoft. Viene usato anche per creare indici per Ricerca di intelligenza artificiale di Azure, creati in fase di esecuzione.
Chiavi gestite dal cliente
Quando non si usa una chiave gestita dal cliente, Microsoft crea e gestisce queste risorse in una sottoscrizione di Microsoft Azure di proprietà e usa una chiave gestita da Microsoft per crittografare i dati.
Quando si usa una chiave gestita dal cliente, queste risorse si trovano nella sottoscrizione di Azure e crittografate con la chiave. Sebbene esistano nella sottoscrizione, queste risorse vengono gestite da Microsoft. Vengono creati e configurati automaticamente quando si crea la risorsa di Intelligenza artificiale di Azure.
Importante
Quando si usa una chiave gestita dal cliente, i costi per la sottoscrizione saranno maggiori perché queste risorse si trovano nella sottoscrizione. Per stimare il costo, usare il calcolatore prezzi di Azure.
Queste risorse gestite da Microsoft si trovano in un nuovo gruppo di risorse di Azure creato nella sottoscrizione. Questo gruppo si aggiunge al gruppo di risorse per il progetto. Questo gruppo di risorse contiene le risorse gestite da Microsoft usate dalla chiave. Il gruppo di risorse viene denominato usando la formula di <Azure AI resource group name><GUID>. Non è possibile modificare la denominazione delle risorse in questo gruppo di risorse gestite.
Suggerimento
- Le unità richiesta per Azure Cosmos DB vengono ridimensionate automaticamente in base alle esigenze.
- Se la risorsa di intelligenza artificiale usa un endpoint privato, questo gruppo di risorse conterrà anche un Rete virtuale di Azure gestito da Microsoft. Questa rete virtuale viene usata per proteggere le comunicazioni tra i servizi gestiti e il progetto. Non è possibile fornire la propria rete virtuale da usare con le risorse gestite da Microsoft. Non è inoltre possibile modificare la rete virtuale. Ad esempio, non è possibile modificare l'intervallo di indirizzi IP usato.
Importante
Se la sottoscrizione non dispone di una quota sufficiente per questi servizi, si verificherà un errore.
Avviso
Non eliminare il gruppo di risorse gestite che contiene questa istanza di Azure Cosmos DB o una delle risorse create automaticamente in questo gruppo. Se è necessario eliminare il gruppo di risorse o i servizi gestiti da Microsoft, è necessario eliminare le risorse di Intelligenza artificiale di Azure che la usano. Le risorse del gruppo di risorse vengono eliminate quando viene eliminata la risorsa di intelligenza artificiale associata.
Il processo per abilitare le chiavi gestite dal cliente con Azure Key Vault per i servizi di intelligenza artificiale di Azure varia in base al prodotto. Per istruzioni specifiche per i singoli servizi, vedere questi collegamenti:
- Crittografia OpenAI di Azure dei dati inattivi
- Visione personalizzata crittografia dei dati inattivi
- Crittografia dei dati inattivi di Face Services
- Crittografia dei dati inattivi di Document Intelligence
- Traduttore crittografia dei dati inattivi
- Crittografia del servizio linguistico dei dati inattivi
- Crittografia vocale dei dati inattivi
- Crittografia dei dati inattivi di Content Moderator
- Crittografia di Personalizza esperienze dei dati inattivi
Modalità di archiviazione dei dati di calcolo
L'intelligenza artificiale di Azure usa le risorse di calcolo per l'istanza di calcolo e il calcolo serverless quando si ottimizzano i modelli o i flussi di compilazione. Nella tabella seguente vengono descritte le opzioni di calcolo e il modo in cui i dati vengono crittografati da ognuno di essi:
| Calcolo | Crittografia |
|---|---|
| Istanza di calcolo | Il disco scratch locale è crittografato. |
| Calcolo serverless | Disco del sistema operativo crittografato in Archiviazione di Azure con chiavi gestite da Microsoft. Il disco temporaneo è crittografato. |
Istanza di calcolo Il disco del sistema operativo per l'istanza di calcolo viene crittografato con chiavi gestite da Microsoft negli account di archiviazione gestiti da Microsoft. Se il progetto è stato creato con il hbi_workspace parametro impostato su TRUE, il disco temporaneo locale nell'istanza di calcolo viene crittografato con le chiavi gestite da Microsoft. La crittografia della chiave gestita dal cliente non è supportata per il sistema operativo e il disco temporaneo.
Calcolo serverless Il disco del sistema operativo per ogni nodo di calcolo archiviato in Archiviazione di Azure viene crittografato con chiavi gestite da Microsoft. Questa destinazione di calcolo è temporanea e i cluster vengono in genere ridimensionati quando non viene accodato alcun processo. Viene eseguito il deprovisioning della macchina virtuale sottostante e il disco del sistema operativo viene eliminato. Crittografia dischi di Azure non è supportata per il disco del sistema operativo.
Ogni macchina virtuale ha anche un disco temporaneo locale per le operazioni del sistema operativo. Se lo si desidera, è possibile usare il disco per organizzare i dati di training. Questo ambiente è di breve durata (solo durante il processo) e il supporto della crittografia è limitato solo alle chiavi gestite dal sistema.
Limiti
- Le chiavi di crittografia non passano dalla risorsa di Intelligenza artificiale di Azure alle risorse dipendenti, tra cui Servizi di intelligenza artificiale di Azure e Archiviazione di Azure quando configurate nella risorsa di Intelligenza artificiale di Azure. È necessario impostare la crittografia in modo specifico in ogni risorsa.
- La chiave gestita dal cliente per la crittografia può essere aggiornata solo alle chiavi nella stessa istanza di Azure Key Vault.
- Dopo la distribuzione, non è possibile passare da chiavi gestite da Microsoft a chiavi gestite dal cliente o viceversa.
- Le risorse create nel gruppo di risorse di Azure gestito da Microsoft nella sottoscrizione non possono essere modificate dall'utente o fornite dall'utente al momento della creazione come risorse esistenti.
- Non è possibile eliminare le risorse gestite da Microsoft usate per le chiavi gestite dal cliente senza eliminare il progetto.
Passaggi successivi
- Il modulo di richiesta della chiave gestita dal cliente per i servizi di intelligenza artificiale di Azure è ancora necessario per Riconoscimento vocale e Content Moderator.
- Che cos'è Azure Key Vault?