Použití klíčů spravovaných zákazníkem k šifrování
Azure AI je postavená na několika službách Azure. I když se zákaznická data ukládají bezpečně pomocí šifrovacích klíčů, které Microsoft ve výchozím nastavení poskytuje, můžete zvýšit zabezpečení tím, že poskytnete vlastní klíče (spravované zákazníkem). Zadané klíče jsou bezpečně uložené ve službě Azure Key Vault.
Požadavky
- Předplatné Azure.
- Instance služby Azure Key Vault. Trezor klíčů obsahuje klíče používané k šifrování služeb.
- Instance trezoru klíčů musí povolit obnovitelné odstranění a ochranu před vymazáním.
- Spravovaná identita služeb zabezpečených klíčem spravovaným zákazníkem musí mít v trezoru klíčů následující oprávnění:
- zalamovací klíč
- unwrap key
- get
Co jsou klíče spravované zákazníkem?
Ve výchozím nastavení Microsoft vytváří a spravuje vaše prostředky v předplatném Azure vlastněné Microsoftem a k šifrování dat používá klíč spravovaný Microsoftem.
Pokud používáte klíč spravovaný zákazníkem, tyto prostředky se nacházejí ve vašem předplatném Azure a šifrují se pomocí vlastního klíče. I když existují ve vašem předplatném, tyto prostředky stále spravuje Microsoft. Automaticky se vytvoří a nakonfigurují při vytváření prostředku Azure AI.
Tyto prostředky spravované Microsoftem se nacházejí v nové skupině prostředků Azure, která se vytvoří ve vašem předplatném. Tato skupina prostředků existuje kromě skupiny prostředků pro váš projekt. Obsahuje prostředky spravované Microsoftem, se kterými se váš klíč používá. Skupina prostředků je pojmenována pomocí vzorce <Azure AI resource group name><GUID>. Není možné změnit pojmenování prostředků v této spravované skupině prostředků.
Tip
Pokud váš prostředek AI používá privátní koncový bod, bude tato skupina prostředků obsahovat také virtuální síť Azure spravovanou Microsoftem. Tato virtuální síť slouží k zabezpečení komunikace mezi spravovanými službami a projektem. Nemůžete poskytnout vlastní virtuální síť pro použití s prostředky spravovanými Microsoftem. Nemůžete také upravit virtuální síť. Rozsah IP adres, který používá, například nemůžete změnit.
Důležité
Pokud vaše předplatné nemá dostatečnou kvótu pro tyto služby, dojde k selhání.
Důležité
Při použití klíče spravovaného zákazníkem budou náklady na vaše předplatné vyšší, protože tyto prostředky jsou ve vašem předplatném. K odhadu nákladů použijte cenovou kalkulačku Azure.
Upozorňující
Neodstraňovat spravovanou skupinu prostředků žádné z prostředků automaticky vytvořených v této skupině. Pokud potřebujete odstranit skupinu prostředků nebo služby spravované Microsoftem, musíte odstranit prostředky Azure AI, které ji používají. Prostředky skupiny prostředků se odstraní při odstranění přidruženého prostředku AI.
Povolení klíčů spravovaných zákazníkem
Proces povolení klíčů spravovaných zákazníkem se službou Azure Key Vault pro služby Azure AI se liší podle produktu. Pro konkrétní služby použijte tyto odkazy:
- Azure OpenAI
- Azure Custom Vision
- Azure AI Face Service
- Azure AI Document Intelligence
- Azure AI Translator
- Služba Azure AI Language
- Azure AI Speech
- Azure Content Moderator
- Personalizace Azure
Způsob ukládání výpočetních dat
Azure AI používá prostředky pro výpočetní instanci a bezserverové výpočetní prostředky při vyladění modelů nebo sestavování toků. Následující tabulka popisuje možnosti výpočetních prostředků a způsob šifrování dat jednotlivými možnostmi:
| Compute | Šifrování |
|---|---|
| Výpočetní instance | Místní pomocný disk je zašifrovaný. |
| Bezserverové výpočetní prostředí | Disk s operačním systémem šifrovaný ve službě Azure Storage pomocí klíčů spravovaných Microsoftem Dočasný disk je šifrovaný. |
Výpočetní instance Disk s operačním systémem pro výpočetní instanci je šifrovaný pomocí klíčů spravovaných Microsoftem v účtech úložiště spravovaných Microsoftem. Pokud byl projekt vytvořen s parametrem hbi_workspace nastaveným na TRUE, místní dočasný disk výpočetní instance je šifrovaný pomocí spravovaných klíčů Microsoftu. Šifrování klíčů spravovaných zákazníkem není podporováno pro operační systém a dočasný disk.
Bezserverový výpočetní disk operačního systému pro každý výpočetní uzel uložený v Azure Storage je šifrovaný pomocí klíčů spravovaných Microsoftem. Tento cílový výpočetní objekt je dočasný a clustery se obvykle škálují dolů, když se nezařadí do fronty žádné úlohy. Základní virtuální počítač se zruší a disk s operačním systémem se odstraní. Azure Disk Encryption není pro disk s operačním systémem podporovaný.
Každý virtuální počítač má také místní dočasný disk pro operace operačního systému. Pokud chcete, můžete disk použít k přípravě trénovacích dat. Toto prostředí je krátkodobé (pouze během vaší úlohy) a podpora šifrování je omezená pouze na klíče spravované systémem.
Omezení
- Šifrovací klíče se z prostředku Azure AI nepřecházejí do závislých prostředků, včetně služeb Azure AI a Azure Storage při konfiguraci prostředku Azure AI. Pro každý prostředek musíte nastavit šifrování speciálně.
- Klíč spravovaný zákazníkem pro šifrování je možné aktualizovat pouze na klíče ve stejné instanci služby Azure Key Vault.
- Po nasazení nemůžete přepnout z klíčů spravovaných Microsoftem na klíče spravované zákazníkem nebo naopak.
- Prostředky vytvořené ve skupině prostředků Azure spravované Microsoftem ve vašem předplatném není možné upravovat ani je poskytnout v době vytvoření jako existující prostředky.
- Nemůžete odstranit prostředky spravované Microsoftem používané pro klíče spravované zákazníkem bez odstranění projektu.
Související obsah
- Formulář žádosti o klíč spravovaný zákazníkem spravované službou Azure AI se stále vyžaduje pro Speech a Content Moderator.
- Co je Azure Key Vault?