Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure AI основан на нескольких службах Azure. Хотя данные клиента хранятся безопасно с помощью ключей шифрования, предоставляемых корпорацией Майкрософт по умолчанию, вы можете повысить безопасность, предоставив собственные (управляемые клиентом) ключи. Предоставленные ключи хранятся безопасно в Azure Key Vault.
Предварительные условия
- Подписка Azure.
- Экземпляр хранилища ключей Azure. Хранилище ключей содержит ключи, используемые для шифрования служб.
- Экземпляр хранилища ключей должен включать мягкое удаление и защиту от окончательного удаления.
- Управляемое удостоверение для служб, защищенных ключом, управляемым клиентом, должно иметь следующие разрешения в хранилище ключей Key Vault:
- упаковка ключа
- распаковка ключа
- получить
Что такое ключи, управляемые клиентом?
По умолчанию корпорация Майкрософт создает ресурсы и управляет ими в подписке Microsoft Azure и использует управляемый корпорацией Майкрософт ключ для шифрования данных.
При использовании ключа, управляемого клиентом, эти ресурсы живут в подписке Azure и шифруются с помощью собственного ключа. Хотя они существуют в вашей подписке, эти ресурсы по-прежнему управляются корпорацией Майкрософт. Они автоматически создаются и настраиваются при создании ресурса ИИ Azure.
Ресурсы, управляемые корпорацией Майкрософт, находятся в новой группе ресурсов Azure, созданной в вашей подписке. Эта группа ресурсов существует в дополнение к группе ресурсов для проекта. Он содержит управляемые корпорацией Майкрософт ресурсы, с которыми используется ключ. Группа ресурсов называется с помощью формулы <Azure AI resource group name><GUID>. Невозможно изменить именование ресурсов в этой управляемой группе ресурсов.
Совет
Если ресурс ИИ использует частную конечную точку, эта группа ресурсов также будет содержать управляемую Майкрософтом виртуальную сеть Azure. Эта виртуальная сеть используется для защиты обмена данными между управляемыми службами и проектом. Вы не можете предоставить собственную виртуальную сеть для использования с управляемыми корпорацией Майкрософт ресурсами. Вы также не можете изменить виртуальную сеть. Например, нельзя изменить используемый диапазон IP-адресов.
Внимание
Если в вашей подписке недостаточно квоты для этих служб, произойдет сбой.
Внимание
При использовании ключа, управляемого клиентом, стоимость подписки будет выше, поскольку эти ресурсы входят в вашу подписку. Для оценки затрат используйте калькулятор цен Azure.
Предупреждение
Не удаляйте автоматически созданные ресурсы в управляемой группе ресурсов. Если вам нужно удалить группу ресурсов или управляемые корпорацией Майкрософт службы, необходимо удалить ресурсы ИИ Azure, которые используют его. Ресурсы группы ресурсов удаляются при удалении связанного ресурса ИИ.
Активация управляемых клиентом ключей
Процесс включения ключей, управляемых клиентом, с помощью Azure Key Vault для средств Foundry зависит от продукта. Используйте эти ссылки для получения инструкций, предназначенных для конкретных служб.
- Azure OpenAI
- Azure Custom Vision
- Безопасность содержимого ИИ Azure
- Azure AI Face
- Аналитика документов Azure
- Azure Translator
- Язык Azure
- Служба речи Azure
- Azure Content Moderator
- Персонализатор Azure
Хранение данных вычислений
Azure AI использует ресурсы для вычислительных экземпляров и бессерверных вычислений, когда вы выполняете точную настройку моделей или создаете потоки. В следующей таблице описаны параметры вычислений и шифрование данных каждым из них:
| Вычисления | Шифрование |
|---|---|
| Вычислительный экземпляр | Локальный диск временного хранения зашифрован. |
| Бессерверные вычисления | Диск ОС, зашифрованный на Azure Storage с помощью ключей, управляемых Майкрософт. Временный диск шифруется. |
Вычислительный экземпляр Диск ОС для вычислительного экземпляра шифруется с помощью ключей, управляемых Корпорацией Майкрософт, в учетных записях хранения, управляемых Корпорацией Майкрософт. Если проект был создан с заданным параметром hbi_workspaceTRUE, локальный временный диск на вычислительном экземпляре шифруется с помощью управляемых ключей Майкрософт. Шифрование с управляемым ключом клиента для ОС и временного диска не поддерживается.
Бессерверное вычисление диск ОС для каждого вычислительного узла, который хранится в Azure Storage, зашифрован с использованием ключей, управляемых корпорацией Майкрософт. Этот целевой объект вычислений является временным, и кластеры, как правило, уменьшаются в масштабе, если в очереди нет заданий. Виртуальная машина снимается с обслуживания, и диск ОС удаляется. Шифрование дисков Azure не поддерживается для диска ОС.
Каждая виртуальная машина также имеет локальный временный диск для операций ОС. При необходимости можно использовать диск для размещения данных для обучения. Эта среда используется кратковременно (только в процессе выполнения задания), а поддержка шифрования ограничена ключами, управляемыми системой.
Ограничения
- Ключи шифрования не передаются из ресурса ИИ Azure в зависимые ресурсы, включая средства Foundry и службу хранилища Azure при настройке ресурса ИИ Azure. Необходимо задать шифрование специально для каждого ресурса.
- Ключ, управляемый клиентом для шифрования, можно обновить только до ключей в том же экземпляре Azure Key Vault.
- После развертывания нельзя переключаться с ключей, управляемых Корпорацией Майкрософт, на ключи, управляемые клиентом, или наоборот.
- Ресурсы, созданные в группе ресурсов, управляемой Корпорацией Майкрософт, в вашей подписке, не могут быть изменены вами или предоставлены вами во время создания в качестве существующих ресурсов.
- Вы не можете удалить управляемые корпорацией Майкрософт ресурсы, используемые для ключей, управляемых клиентом, без удаления проекта.