Kundhanterade nycklar för kryptering

Azure AI bygger på flera Azure-tjänster. Kunddata lagras säkert med hjälp av krypteringsnycklar som Microsoft tillhandahåller som standard, men du kan förbättra din säkerhet genom att tillhandahålla dina egna (kundhanterade) nycklar. De nycklar du anger lagras säkert i Azure Key Vault.

Förutsättningar

  • En Azure-prenumeration.
  • En Azure Key Vault-instans. Nyckelvalvet innehåller de nycklar som används för att kryptera dina tjänster.
    • Key Vault-instansen måste aktivera skydd mot mjuk borttagning och rensning.
    • Den hanterade identiteten för de tjänster som skyddas av en kundhanterad nyckel måste ha följande behörigheter i nyckelvalvet:
      • wrap-nyckel
      • packa upp nyckel
      • get

Vad är kundhanterade nycklar?

Som standard skapar och hanterar Microsoft dina resurser i en Microsoft-ägd Azure-prenumeration och använder en Microsoft-hanterad nyckel för att kryptera data.

När du använder en kundhanterad nyckel finns dessa resurser i din Azure-prenumeration och krypteras med din egen nyckel. Även om de finns i din prenumeration hanteras dessa resurser fortfarande av Microsoft. De skapas och konfigureras automatiskt när du skapar din Azure AI-resurs.

Dessa Microsoft-hanterade resurser finns i en ny Azure-resursgrupp som skapas i din prenumeration. Den här resursgruppen finns utöver resursgruppen för projektet. Den innehåller de Microsoft-hanterade resurser som din nyckel används med. Resursgruppen namnges med formeln <Azure AI resource group name><GUID>. Det går inte att ändra namngivning av resurserna i den här hanterade resursgruppen.

Dricks

Om din AI-resurs använder en privat slutpunkt innehåller den här resursgruppen även ett Microsoft-hanterat virtuellt Azure-nätverk. Det här virtuella nätverket används för att skydda kommunikationen mellan de hanterade tjänsterna och projektet. Du kan inte ange ett eget virtuellt nätverk för användning med Microsoft-hanterade resurser. Du kan inte heller ändra det virtuella nätverket. Du kan till exempel inte ändra DET IP-adressintervall som används.

Viktigt!

Om din prenumeration inte har tillräckligt med kvot för dessa tjänster uppstår ett fel.

Viktigt!

När du använder en kundhanterad nyckel blir kostnaderna för din prenumeration högre eftersom dessa resurser finns i din prenumeration. Om du vill beräkna kostnaden använder du Priskalkylatorn för Azure.

Varning

Ta inte bort den hanterade resursgruppen någon av de resurser som skapas automatiskt i den här gruppen. Om du behöver ta bort resursgruppen eller Microsoft-hanterade tjänster i den måste du ta bort de Azure AI-resurser som använder den. Resursgruppens resurser tas bort när den associerade AI-resursen tas bort.

Aktivera kundhanterade nycklar

Processen för att aktivera kundhanterade nycklar med Azure Key Vault för Azure AI-tjänster varierar beroende på produkt. Använd dessa länkar för tjänstspecifika instruktioner:

Så här lagras beräkningsdata

Azure AI använder resurser för beräkningsinstans och serverlös beräkning när du finjusterar modeller eller byggflöden. I följande tabell beskrivs beräkningsalternativen och hur data krypteras av var och en:

Compute Kryptering
Beräkningsinstans Den lokala scratch-disken är krypterad.
Serverlös databearbetning OS-disk krypterad i Azure Storage med Microsoft-hanterade nycklar. Temporär disk är krypterad.

Beräkningsinstans OS-disken för beräkningsinstansen krypteras med Microsoft-hanterade nycklar i Microsoft-hanterade lagringskonton. Om projektet skapades med parametern hbi_workspace inställd TRUEpå krypteras den lokala temporära disken på beräkningsinstansen med Microsoft-hanterade nycklar. Kundhanterad nyckelkryptering stöds inte för operativsystem och temporär disk.

Serverlös beräkning Os-disken för varje beräkningsnod som lagras i Azure Storage krypteras med Microsoft-hanterade nycklar. Det här beräkningsmålet är tillfälliga och kluster skalas vanligtvis ned när inga jobb placeras i kö. Den underliggande virtuella datorn avetableras och OS-disken tas bort. Azure Disk Encryption stöds inte för OS-disken.

Varje virtuell dator har också en lokal tillfällig disk för os-åtgärder. Om du vill kan du använda disken för att mellanlagra träningsdata. Den här miljön är kortvarig (endast under jobbet) och krypteringsstöd är endast begränsat till systemhanterade nycklar.

Begränsningar

  • Krypteringsnycklar skickas inte från Azure AI-resursen till beroende resurser, inklusive Azure AI Services och Azure Storage när de konfigureras på Azure AI-resursen. Du måste ange kryptering specifikt för varje resurs.
  • Den kundhanterade nyckeln för kryptering kan bara uppdateras till nycklar i samma Azure Key Vault-instans.
  • Efter distributionen kan du inte växla från Microsoft-hanterade nycklar till kundhanterade nycklar eller vice versa.
  • Resurser som skapas i den Microsoft-hanterade Azure-resursgruppen i din prenumeration kan inte ändras av dig eller tillhandahållas av dig när du skapas som befintliga resurser.
  • Du kan inte ta bort Microsoft-hanterade resurser som används för kundhanterade nycklar utan att även ta bort projektet.