Şifreleme için müşteri tarafından yönetilen anahtarları kullanma
Azure yapay zeka, birden çok Azure hizmeti üzerine kurulmuştur. Müşteri verileri, Microsoft'un varsayılan olarak sağladığı şifreleme anahtarları kullanılarak güvenli bir şekilde depolanırken, kendi (müşteri tarafından yönetilen) anahtarlarınızı sağlayarak güvenliğinizi artırabilirsiniz. Sağladığınız anahtarlar Azure Key Vault'ta güvenli bir şekilde depolanır.
Önkoşullar
- Azure aboneliği.
- Azure Key Vault örneği. Anahtar kasası, hizmetlerinizi şifrelemek için kullanılan anahtarları içerir.
- Anahtar kasası örneğinin geçici silme ve temizleme korumasını etkinleştirmesi gerekir.
- Müşteri tarafından yönetilen anahtarla güvenliği sağlanan hizmetler için yönetilen kimliğin anahtar kasasında aşağıdaki izinlere sahip olması gerekir:
- kaydırma tuşu
- unwrap tuşu
- get
Müşteri tarafından yönetilen anahtarlar nedir?
Varsayılan olarak Microsoft, Microsoft'a ait bir Azure aboneliğinde kaynaklarınızı oluşturur ve yönetir ve verileri şifrelemek için Microsoft tarafından yönetilen bir anahtar kullanır.
Müşteri tarafından yönetilen bir anahtar kullandığınızda, bu kaynaklar Azure aboneliğinizde bulunur ve kendi anahtarınız ile şifrelenir. Bunlar aboneliğinizde mevcut olsa da, bu kaynaklar hala Microsoft tarafından yönetilir. Azure AI kaynağınızı oluşturduğunuzda otomatik olarak oluşturulur ve yapılandırılır.
Microsoft tarafından yönetilen bu kaynaklar, aboneliğinizde oluşturulan yeni bir Azure kaynak grubunda bulunur. Bu kaynak grubu, projenizin kaynak grubuna ek olarak mevcuttur. Anahtarınızın birlikte kullanıldığı Microsoft tarafından yönetilen kaynakları içerir. Kaynak grubu formülü <Azure AI resource group name><GUID>kullanılarak adlandırılır. Bu yönetilen kaynak grubundaki kaynakların adlandırması değiştirilemez.
İpucu
Yapay zeka kaynağınız özel bir uç nokta kullanıyorsa, bu kaynak grubu Microsoft tarafından yönetilen bir Azure Sanal Ağ de içerir. Bu sanal ağ, yönetilen hizmetler ve proje arasındaki iletişimin güvenliğini sağlamak için kullanılır. Microsoft tarafından yönetilen kaynaklarla kullanmak üzere kendi sanal ağınızı sağlayamazsınız. Sanal ağı da değiştiremezsiniz. Örneğin, kullandığı IP adresi aralığını değiştiremezsiniz.
Önemli
Aboneliğinizin bu hizmetler için yeterli kotası yoksa bir hata oluşur.
Önemli
Müşteri tarafından yönetilen bir anahtar kullanıldığında, bu kaynaklar aboneliğinizde olduğundan aboneliğinizin maliyetleri daha yüksek olur. Maliyeti tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Uyarı
Yönetilen kaynak grubunu, bu grupta otomatik olarak oluşturulan kaynakların hiçbirini silmeyin. Kaynak grubunu veya içindeki Microsoft tarafından yönetilen hizmetleri silmeniz gerekiyorsa, bunu kullanan Azure AI kaynaklarını silmeniz gerekir. İlişkili yapay zeka kaynağı silindiğinde kaynak grubu kaynakları silinir.
Müşteri tarafından yönetilen anahtarı etkinleştirme
Azure AI hizmetleri için Azure Key Vault ile müşteri tarafından yönetilen anahtarları etkinleştirme işlemi ürüne göre değişir. Hizmete özgü yönergeler için şu bağlantıları kullanın:
- Azure OpenAI
- Azure Özel Görüntü İşleme
- Azure AI Yüz Tanıma Hizmeti
- Azure AI Belge Zekası
- Azure AI Translator
- Azure AI Dil hizmeti
- Azure AI Konuşma
- Azure Content Moderator
- Azure Kişiselleştirme
İşlem verileri nasıl depolanır?
Azure AI, modellerde ince ayarlamalar yaptığınızda veya akışlar oluştururken işlem örneği ve sunucusuz işlem için kaynakları kullanır. Aşağıdaki tabloda işlem seçenekleri ve verilerin her biri tarafından nasıl şifrelediği açıklanmaktadır:
| İşlem | Şifreleme |
|---|---|
| İşlem örneği | Yerel karalama diski şifrelenir. |
| Sunucusuz işlem | Azure Depolama'da Microsoft tarafından yönetilen anahtarlarla şifrelenmiş işletim sistemi diski. Geçici disk şifrelenir. |
İşlem örneği İşlem örneği için işletim sistemi diski, Microsoft tarafından yönetilen depolama hesaplarındaki Microsoft tarafından yönetilen anahtarlarla şifrelenir. Proje parametresi olarak ayarlanmış TRUEşekilde oluşturulduysahbi_workspace, işlem örneğindeki yerel geçici disk Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtar şifrelemesi işletim sistemi ve geçici disk için desteklenmez.
Sunucusuz işlem Azure Depolama'da depolanan her işlem düğümü için işletim sistemi diski Microsoft tarafından yönetilen anahtarlarla şifrelenir. Bu işlem hedefi kısa ömürlüdür ve hiçbir iş kuyruğa alınmadığında kümelerin ölçeği genellikle azaltılır. Temel alınan sanal makine sağlanmamıştır ve işletim sistemi diski silinir. Azure Disk Şifrelemesi işletim sistemi diski için desteklenmez.
Her sanal makinenin işletim sistemi işlemleri için bir yerel geçici diski de vardır. İsterseniz, eğitim verilerini hazırlamak için diski kullanabilirsiniz. Bu ortam kısa ömürlüdür (yalnızca işiniz sırasında) ve şifreleme desteği yalnızca sistem tarafından yönetilen anahtarlarla sınırlıdır.
Sınırlamalar
- Şifreleme anahtarları, Azure yapay zeka kaynağında yapılandırıldığında Azure AI Hizmetleri ve Azure Depolama dahil olmak üzere Azure yapay zeka kaynağından bağımlı kaynaklara geçiş yapamaz. Şifrelemeyi her kaynak için özel olarak ayarlamanız gerekir.
- Şifreleme için müşteri tarafından yönetilen anahtar yalnızca aynı Azure Key Vault örneğindeki anahtarlara güncelleştirilebilir.
- Dağıtımdan sonra Microsoft tarafından yönetilen anahtarlardan Müşteri tarafından yönetilen anahtarlara veya tersine geçiş yapamazsınız.
- Aboneliğinizdeki Microsoft tarafından yönetilen Azure kaynak grubunda oluşturulan kaynaklar sizin tarafınızdan değiştirilemez veya oluşturma sırasında sizin tarafınızdan mevcut kaynaklar olarak sağlanamaz.
- Projenizi de silmeden müşteri tarafından yönetilen anahtarlar için kullanılan Microsoft tarafından yönetilen kaynakları silemezsiniz.