Использование ключей, управляемых клиентом, для шифрования
Azure AI основан на нескольких службах Azure. Хотя данные клиента хранятся безопасно с помощью ключей шифрования, предоставляемых корпорацией Майкрософт по умолчанию, вы можете повысить безопасность, предоставив собственные (управляемые клиентом) ключи. Предоставленные ключи хранятся безопасно в Azure Key Vault.
Необходимые компоненты
- Подписка Azure.
- Экземпляр хранилища ключей Azure. Хранилище ключей содержит ключи, используемые для шифрования служб.
- Экземпляр хранилища ключей должен включать обратимое удаление и защиту от удаления.
- Управляемое удостоверение для служб, защищенных ключом, управляемым клиентом, должно иметь следующие разрешения в хранилище ключей:
- упаковка ключа
- распаковка ключа
- get
Что такое ключи, управляемые клиентом?
По умолчанию корпорация Майкрософт создает ресурсы и управляет ими в подписке Microsoft Azure и использует управляемый корпорацией Майкрософт ключ для шифрования данных.
При использовании ключа, управляемого клиентом, эти ресурсы живут в подписке Azure и шифруются с помощью собственного ключа. Хотя они существуют в вашей подписке, эти ресурсы по-прежнему управляются корпорацией Майкрософт. Они автоматически создаются и настраиваются при создании ресурса ИИ Azure.
Ресурсы, управляемые корпорацией Майкрософт, находятся в новой группе ресурсов Azure, созданной в вашей подписке. Эта группа ресурсов существует в дополнение к группе ресурсов для проекта. Он содержит управляемые корпорацией Майкрософт ресурсы, с которыми используется ключ. Группа ресурсов называется с помощью формулы <Azure AI resource group name><GUID>. Невозможно изменить именование ресурсов в этой управляемой группе ресурсов.
Совет
Если ресурс ИИ использует частную конечную точку, эта группа ресурсов также будет содержать виртуальная сеть Microsoft, управляемых Корпорацией Майкрософт. Эта виртуальная сеть используется для защиты обмена данными между управляемыми службами и проектом. Вы не можете предоставить собственную виртуальную сеть для использования с ресурсами, управляемыми корпорацией Майкрософт. Вы также не можете изменить виртуальную сеть. Например, нельзя изменить используемый диапазон IP-адресов.
Внимание
Если в вашей подписке недостаточно квоты для этих служб, произойдет сбой.
Внимание
При использовании ключа, управляемого клиентом, стоимость подписки будет выше, поскольку эти ресурсы входят в вашу подписку. Для оценки затрат используйте калькулятор цен Azure.
Предупреждение
Не удаляйте группу управляемых ресурсов, которые автоматически создаются в этой группе. Если вам нужно удалить группу ресурсов или управляемые корпорацией Майкрософт службы, необходимо удалить ресурсы ИИ Azure, которые используют его. Ресурсы группы ресурсов удаляются при удалении связанного ресурса ИИ.
Активация управляемых клиентом ключей
Процесс включения ключей, управляемых клиентом, с помощью Azure Key Vault для служб ИИ Azure зависит от продукта. Приведенные далее ссылки подержат инструкции, относящиеся к службам.
- Azure OpenAI
- Azure Пользовательское визуальное распознавание
- Служба распознавания лиц Azure AI
- Аналитика документов ВИ Azure
- Azure AI Translator
- Служба языка искусственного интеллекта Azure
- Речь об искусственном интеллекте Azure
- Azure Content Moderator
- Персонализатор Azure
Хранение данных вычислений
Azure AI использует ресурсы для вычислительных экземпляров и бессерверных вычислений при точной настройке моделей или потоков сборки. В следующей таблице описаны параметры вычислений и шифрование данных каждым из них:
| Службы вычислений | Шифрование |
|---|---|
| Вычислительная операция | Локальный царапный диск шифруется. |
| Бессерверные вычисления | Диск ОС, зашифрованный в служба хранилища Azure с помощью ключей, управляемых корпорацией Майкрософт. Временный диск шифруется. |
Вычислительный экземпляр Диск ОС для вычислительного экземпляра шифруется с помощью ключей, управляемых Корпорацией Майкрософт, в учетных записях хранения, управляемых Корпорацией Майкрософт. Если проект был создан с заданным параметром hbi_workspace TRUE, локальный временный диск на вычислительном экземпляре шифруется с помощью управляемых ключей Майкрософт. Шифрование с управляемым ключом клиента для ОС и временного диска не поддерживается.
Бессерверное вычисление диска ОС для каждого вычислительного узла, хранящегося в служба хранилища Azure, шифруется с помощью ключей, управляемых корпорацией Майкрософт. Этот целевой объект вычислений является временным, и кластеры, как правило, уменьшаются в масштабе, если в очереди нет заданий. Базовая виртуальная машина освобождается, а диск ОС удаляется. Шифрование дисков Azure не поддерживается для диска ОС.
Каждая виртуальная машина также имеет локальный временный диск для операций ОС. При необходимости можно использовать диск для размещения данных для обучения. Эта среда используется кратковременно (только в процессе выполнения задания), а поддержка шифрования ограничена ключами, управляемыми системой.
Ограничения
- Ключи шифрования не передаются из ресурса ИИ Azure в зависимые ресурсы, включая службы ИИ Azure и служба хранилища Azure при настройке ресурса ИИ Azure. Необходимо задать шифрование специально для каждого ресурса.
- Ключ, управляемый клиентом для шифрования, можно обновить только до ключей в том же экземпляре Azure Key Vault.
- После развертывания нельзя переключаться с ключей, управляемых Корпорацией Майкрософт, на ключи, управляемые клиентом, или наоборот.
- Ресурсы, созданные в группе ресурсов, управляемой Корпорацией Майкрософт, в вашей подписке, не могут быть изменены вами или предоставлены вами во время создания в качестве существующих ресурсов.
- Вы не можете удалить управляемые корпорацией Майкрософт ресурсы, используемые для ключей, управляемых клиентом, без удаления проекта.
Связанный контент
- Форма запроса ключей, управляемого клиентом, службы искусственного интеллекта Azure по-прежнему требуются для службы "Речь" и Content Moderator.
- Об Azure Key Vault