Crittografia dei dati inattivi del Servizio OpenAI di Azure

  • Articolo

Azure OpenAI crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud. La crittografia protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Questo articolo illustra in che modo Azure OpenAI gestisce la crittografia dei dati inattivi, in particolare i dati di training e i modelli ottimizzati. Per informazioni su come vengono elaborati, usati e archiviati i dati forniti dall'utente al servizio, vedere l’articolo dati, privacy e sicurezza.

Informazioni sulla crittografia dei Servizi di Azure AI

Azure OpenAI fa parte dei Servizi di Azure AI. I dati di Servizi di Azure AI vengono crittografati e decrittografati usando la crittografia 256-bit AES conforme con gli standard FIPS 140-2. La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestiti per l'utente. I dati sono protetti per impostazione predefinita e non è necessario modificare il codice o le applicazioni per sfruttare la crittografia.

Informazioni sulla gestione delle chiavi di crittografia

Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con le proprie chiavi, dette chiavi gestite dal cliente. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.

Usare le chiavi gestite dal cliente con Azure Key Vault

Le chiavi gestite dal cliente, note anche come Bring Your Own Key (BYOK), offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.

È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare le API Azure Key Vault per generare chiavi. La risorsa dei Servizi di Azure AI e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault.

Per abilitare le chiavi gestite dal cliente, l'insieme di credenziali delle chiavi contenente le chiavi deve soddisfare questi requisiti:

  • È necessario abilitare entrambe le proprietà Eliminazione temporanea e Protezione dall'eliminazione nell'insieme di credenziali delle chiavi.
  • Se si usa il firewall di Key Vault, è necessario consentire ai servizi Microsoft attendibili di accedere all'insieme di credenziali delle chiavi.
  • L'insieme di credenziali delle chiavi deve usare criteri di accesso legacy.
  • È necessario concedere all'identità gestita assegnata dal sistema della risorsa OpenAI di Azure le autorizzazioni seguenti per l'insieme di credenziali delle chiavi: ottenere la chiave, eseguire il wrapping della chiave, annullare il wrapping della chiave.

Solo le chiavi RSA e RSA-HSM di dimensioni 2048 sono supportate con la crittografia dei Servizi di Azure AI. Per altre informazioni sulle chiavi, vedere Chiavi Key Vault in Informazioni su chiavi, segreti e certificati di Azure Key Vault.

Abilitare l'identità gestita della risorsa OpenAI di Azure

  1. Passare alla risorsa dei Servizi di Azure AI.
  2. A sinistra, in Gestione risorse, selezionare Identità.
  3. Impostare lo stato dell'identità gestita assegnata dal sistema su Attivo.
  4. Salvare le modifiche e confermare che si vuole abilitare l'identità gestita assegnata dal sistema.

Configurare le autorizzazioni di accesso dell'insieme di credenziali delle chiavi

  1. Nel portale di Azure passare all'insieme di credenziali delle chiavi.

  2. A sinistra selezionare Criteri di accesso.

    Se viene visualizzato un messaggio che informa che i criteri di accesso non sono disponibili, riconfigurare l'insieme di credenziali delle chiavi per usare i criteri di accesso legacy prima di continuare.

  3. Seleziona Crea.

  4. In Autorizzazioni chiave, selezionare le autorizzazioni Recupera, Esegui il wrapping della chiave e Annulla il wrapping della chiave. Lasciare deselezionate le caselle di controllo rimanenti.

    Screenshot of the Azure portal page for a key vault access policy. The permissions selected are Get Key, Wrap Key, and Unwrap Key.

  5. Selezionare Avanti.

  6. Cercare il nome della risorsa OpenAI di Azure e selezionarne l'identità gestita.

  7. Selezionare Avanti.

  8. Selezionare Avanti per ignorare la configurazione di tutte le impostazioni applicazione.

  9. Seleziona Crea.

Abilitare le chiavi gestite dal cliente nella risorsa OpenAI di Azure

Per abilitare le chiavi gestite dal cliente nel portale di Azure, seguire questa procedura:

  1. Passare alla risorsa dei Servizi di Azure AI.

  2. A sinistra, in Gestione risorse, selezionare Crittografia.

  3. In Tipo di crittografia selezionare Chiavi gestite dal cliente, come illustrato nello screenshot seguente.

    Screenshot of create a resource user experience.

Specificare una chiave

Dopo aver abilitato le chiavi gestite dal cliente, è possibile specificare una chiave da associare alla risorsa dei Servizi di Azure AI.

Specificare una chiave da un URI

Per specificare una chiave come URI, seguire questa procedura:

  1. Nel portale di Azure passare all'insieme di credenziali delle chiavi.

  2. In Oggetti, selezionare Chiavi.

  3. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le relative impostazioni.

  4. Copiare il valore identificatore di chiave, che fornisce l'URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Tornare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.

  6. In Chiave di crittografiaselezionare Immettere l'URIdella chiave.

  7. Incollare l'URI copiato nella casella chiave URI.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. In Sottoscrizioneselezionare la sottoscrizione che contiene l'insieme di credenziali delle chiavi.

  9. Salvare le modifiche.

Selezionare una chiave da un insieme di credenziali delle chiavi

Per selezionare una chiave da un insieme di credenziali delle chiavi, assicurarsi prima di tutto di avere un insieme di credenziali delle chiavi contenente una chiave. Quindi segui questi passaggi.

  1. Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.

  2. In Chiave di crittografia selezionare Seleziona da Key Vault.

  3. Selezionare l'insieme di credenziali delle chiavi contenente la chiave da usare.

  4. Selezionare la chiave da usare.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Salvare le modifiche.

Aggiornare la versione della chiave

Quando si crea la nuova versione di una chiave, aggiornare la risorsa dei Servizi di Azure AI per usare la nuova versione. Seguire questa procedura:

  1. Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
  2. Immettere l'URI per la nuova versione della chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e quindi selezionare di nuovo la chiave per aggiornare la versione.
  3. Salvare le modifiche.

Usare una chiave diversa

Per modificare la chiave usata per la crittografia, seguire questa procedura:

  1. Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
  2. Immettere l'URI per la nuova chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e quindi selezionare una nuova chiave.
  3. Salvare le modifiche.

Ruotare le chiavi gestite dal cliente

È possibile ruotare una chiave gestita dal cliente in Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa dei Servizi di Azure AI per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nel portale di Azure, vedere Aggiornare la versione della chiave.

La rotazione della chiave non attiva la ricrittografazione dei dati nella risorsa. Non è necessaria alcuna azione da parte dell’utente.

Revocare una chiave gestita dal cliente

È possibile revocare una chiave di crittografia gestita dal cliente modificando i criteri di accesso, modificando le autorizzazioni nell'insieme di credenziali delle chiavi o eliminando la chiave.

Per modificare i criteri di accesso dell'identità gestita usata dal Registro di sistema, eseguire il comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Per eliminare le singole versioni di una chiave, eseguire il comando az-keyvault-key-delete. Questa operazione richiede l'autorizzazione chiavi/elimina.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Importante

La revoca dell'accesso a una chiave gestita dal cliente attiva mentre la chiave gestita dal cliente è ancora abilitata impedisce il download dei file di dati e dei risultati di training, l'ottimizzazione dei nuovi modelli e la distribuzione di modelli ottimizzati. Tuttavia, i modelli ottimizzati distribuiti in precedenza continueranno a funzionare e a gestire il traffico fino a quando tali distribuzioni non saranno eliminate.

Eliminare dati relativi a training, convalida e risultati di training

Il file API consente ai clienti di caricare i dati di training allo scopo di ottimizzare un modello. Questi dati vengono archiviati in Archiviazione di Azure, all'interno della stessa area della risorsa e isolati logicamente con la sottoscrizione di Azure e le credenziali API. I file caricati possono essere eliminati dall'utente tramite l'operazione DELL'API DELETE.

Eliminare modelli ottimizzati e distribuzioni

L’API di ottimizzazione consente ai clienti di creare la propria versione ottimizzata dei modelli OpenAI in base ai dati di training caricati nel servizio tramite il file API. I modelli sottoposti a training vengono archiviati in Archiviazione di Azure nella stessa area, crittografati inattivi (con chiavi gestite da Microsoft o gestite dal cliente) e isolati logicamente con la sottoscrizione di Azure e le credenziali API. I modelli e le distribuzioni ottimizzati possono essere eliminati dall'utente chiamando l'operazione DELETE API.

Disabilitare le chiavi gestite dal cliente

Quando si disabilitano le chiavi gestite dal cliente, la risorsa dei Servizi di Azure AI viene quindi crittografata con chiavi gestite da Microsoft. Per disabilitare le chiavi gestite dal cliente, seguire questa procedura:

  1. Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
  2. Selezionare chiavi gestite da Microsoft>Salva.

Se in precedenza sono state abilitate le chiavi gestite dal cliente, è stata abilitata anche un'identità gestita assegnata dal sistema, una funzionalità di Microsoft Entra ID. Dopo aver abilitato l'identità gestita assegnata dal sistema, questa risorsa verrà registrata in Microsoft Entra ID. Dopo la registrazione, all'identità gestita verrà concesso l'accesso all'insieme di credenziali delle chiavi selezionato durante la configurazione della chiave gestita dal cliente. Vedere altre informazioni sulle identità gestite.

Importante

Se si disabilitano le identità gestite assegnate dal sistema, l'accesso all'insieme di credenziali delle chiavi verrà rimosso e gli eventuali dati crittografati con le chiavi del cliente non saranno più accessibili. Tutte le funzionalità dipendenti da questi dati smetteranno di funzionare.

Importante

Le identità gestite attualmente non supportano gli scenari tra directory. Quando si configurano le chiavi gestite dal cliente nel portale di Azure, viene assegnata automaticamente un'identità gestita. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory di Microsoft Entra a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory di Microsoft Entra in Domande frequenti e problemi noti nell'uso di identità gestite per le risorse di Azure.

Passaggi successivi