Поделиться через

Шифрование неактивных данных в Службе OpenAI Azure

  • Статья

Azure OpenAI автоматически шифрует данные при сохранении в облаке. Шифрование защищает данные и помогает выполнять обязательства организации по обеспечению безопасности и соответствия требованиям. В этой статье описывается, как Azure OpenAI обрабатывает шифрование неактивных данных, в частности обучающие данные и точно настроенные модели. Сведения о том, как данные, предоставляемые вами службе, обрабатываются, используются и хранятся, см. в статье о данных, конфиденциальности и безопасности.

Сведения о шифровании служб ИИ Azure

Azure OpenAI является частью служб ИИ Azure. Данные служб искусственного интеллекта Azure шифруются и расшифровываются с помощью шифрования FIPS 140-2 , соответствующего 256-разрядному шифрованию AES . Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Есть также возможность управлять подпиской с собственными ключами, называемыми ключами, управляемыми клиентом (CMK). CMK предлагает большую гибкость в создании, вращении, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Использование ключей, управляемых клиентом, в Azure Key Vault

Ключи, управляемые клиентом (CMK), которые также называются ключами BYOK, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Вы должны использовать Azure Key Vault для хранения ключей, управляемых клиентом. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс служб ИИ Azure и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.

Чтобы включить управляемые клиентом ключи, хранилище ключей, содержащее ключи, должно соответствовать следующим требованиям:

  • В хранилище ключей необходимо включить свойства Обратимое удаление и Не подлежит очистке.
  • Если вы используете брандмауэр Key Vault, необходимо разрешить доступ доверенным службам Майкрософт к хранилищу ключей.
  • Хранилище ключей должно использовать устаревшие политики доступа.
  • Необходимо предоставить управляемому удостоверению, назначаемому системой ресурсу Azure OpenAI, следующие разрешения в хранилище ключей: получение ключа, оболочка ключа, распаковка ключа.

Только ключи RSA и RSA-HSM размера 2048 поддерживаются с шифрованием служб ИИ Azure. Дополнительные сведения о ключах Key Vault см. в статье Сведения о ключах, секретах и сертификатах Azure Key Vault.

Включите управляемое удостоверение ресурса Azure OpenAI

Замечание

Azure OpenAI поддерживает только управляемые клиентом ключи (CMK) с управляемыми удостоверениями, назначаемыми системой. Управляемые удостоверения, назначаемые пользователем, не поддерживаются с помощью Azure OpenAI и ключей, управляемых клиентом (CMK).

  1. Перейдите к ресурсу служб ИИ Azure.
  2. Слева в разделе "Управление ресурсами" выберите "Удостоверение".
  3. Переключите статус управляемой идентичности, назначаемой системой, в режим «Вкл».
  4. Сохраните изменения и убедитесь, что вы хотите включить управляемое удостоверение, назначаемое системой.

Настройка разрешений доступа к хранилищу ключей

  1. На портале Azure перейдите в хранилище ключей.

  2. Слева выберите политики доступа.

    Если вы видите сообщение о том, что политики доступа недоступны, перенастройьте хранилище ключей, чтобы использовать устаревшие политики доступа, прежде чем продолжить.

  3. Нажмите кнопку создания.

  4. В разделе "Разрешения ключа" выберите "Получить", "Завернуть ключ" и "Распаковать ключ". Оставьте оставшиеся флажки без выбора.

    Снимок экрана: страница портал Azure для политики доступа к хранилищу ключей. Выбранные разрешения : Get Key, Wrap Key и Unwrap Key.

  5. Выберите Далее.

  6. Найдите имя вашего ресурса Azure OpenAI и выберите его управляемую идентичность.

  7. Выберите Далее.

  8. Нажмите кнопку "Далее", чтобы пропустить настройку параметров приложения.

  9. Нажмите кнопку создания.

Включение ключей, управляемых клиентом, в ресурсе Azure OpenAI

Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure.

  2. Слева в разделе "Управление ресурсами" выберите "Шифрование".

  3. В разделе Тип шифрования выберите Ключи, управляемые клиентом, как показано на следующем снимке экрана.

    Снимок экрана: создание пользовательского интерфейса ресурса.

Указание ключа

После включения ключей, управляемых клиентом, можно указать ключ для связывания с ресурсом служб искусственного интеллекта Azure.

Указание ключа в качестве URI

Чтобы указать ключ с помощью URI, выполните следующие действия.

  1. На портале Azure перейдите в хранилище ключей.

  2. В разделе "Объекты" выберите "Ключи".

  3. Выберите желаемый ключ, а затем выберите его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

  4. Скопируйте значение Идентификатор ключа, которое предоставляет URI.

    Снимок экрана страницы портала Azure для версии ключа. Поле «Идентификатор ключа» содержит заполнитель для URI ключа.

  5. Вернитесь к ресурсу служб ИИ Azure и выберите " Шифрование".

  6. В разделе Ключ шифрования выберите Ввести URI ключа.

  7. Вставьте скопированный URI в поле URI ключа.

    Снимок экрана страницы шифрования для ресурса служб искусственного интеллекта Azure. Выбран параметр ввода URI ключа, и поле URI ключа содержит значение.

  8. В разделе Подписка выберите подписку, содержащую хранилище ключей.

  9. Сохраните изменения.

Выбор ключа из хранилища ключей

Чтобы выбрать ключ из хранилища ключей, сначала убедитесь, что у вас есть хранилище ключей, содержащее ключ. Затем выполните следующие шаги:

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".

  2. В разделе Ключ шифрования нажмите Выбрать из хранилища ключей.

  3. Выберите хранилище ключей, содержащее ключ, который вы хотите использовать.

  4. Выберите нужный ключ.

    Снимок экрана, на котором показана страница выбора ключа в Azure Key Vault на портале Azure. Поля

  5. Сохраните изменения.

Обновление версии ключа

При создании новой версии ключа обновите ресурс служб искусственного интеллекта Azure, чтобы использовать новую версию. Выполните следующие действия:

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Введите URI новой версии ключа. В качестве альтернативы, вы можете выбрать хранилище ключей, а затем снова выбрать ключ, чтобы обновить версию.
  3. Сохраните изменения.

Использование другого ключа

Чтобы сменить ключ, используемый для шифрования, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Введите URI нового ключа. Как вариант, можно выбрать хранилище ключей и затем выбрать новый ключ.
  3. Сохраните изменения.

Ротация ключей, управляемых клиентом

Вы можете периодически сменять управляемый клиентом ключ в Key Vault в соответствии с применяемыми политиками соответствия требованиям. При смене ключа необходимо обновить ресурс служб ИИ Azure, чтобы использовать новый URI ключа. Сведения о том, как обновить ресурс для использования новой версии ключа на портале Azure, см. в разделе Обновление версии ключа.

При циклической смене ключа не запускается повторное шифрование данных ресурса. Никаких действий со стороны пользователя не требуется.

Отмена ключа, управляемого клиентом

Вы можете отозвать ключ шифрования, управляемый клиентом, изменив политику доступа, изменив разрешения в хранилище ключей или удалив ключ.

Чтобы изменить политику доступа управляемого удостоверения, которое использует ваш реестр, выполните команду az-keyvault-delete-policy.

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Чтобы удалить отдельные версии ключа, выполните команду az-keyvault-key-delete . Для этой операции требуется разрешение на удаление ключей.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Внимание

Отмена доступа к активному ключу, управляемому клиентом, в то время как CMK по-прежнему включена, позволит предотвратить скачивание обучающих данных и файлов результатов, точной настройки новых моделей и развертывания точно настроенных моделей. Однако ранее развернутые точно настроенные модели будут продолжать работать и обслуживать трафик до тех пор, пока эти развертывания не будут удалены.

Удалите данные обучения, проверки и результаты обучения

API файлов позволяет клиентам отправлять обучающие данные в целях точной настройки модели. Эти данные хранятся в службе хранилища Azure в том же регионе, что и ресурс, и логически изолированы с помощью их подписки Azure и учетных данных API. Отправленные файлы можно удалить пользователем с помощью операции DELETE API.

Удаление тонко настроенных моделей и развертываний

API тонкой настройки позволяет клиентам создавать собственную настраиваемую версию моделей OpenAI на основе обучающих данных, которые вы отправили в службу с помощью API файлов. Обученные и точно настроенные модели хранятся в службе хранилища Azure в том же регионе, зашифрованы в состоянии покоя (с ключами, управляемыми корпорацией Майкрософт, или ключами, управляемыми клиентом) и логически изолированы с их Azure-подпиской и учетными данными API. Точно настроенные модели и развертывания можно удалить пользователем, вызвав операцию DELETE API.

Отключение ключей, управляемых клиентом

При отключении управляемых клиентом ключей ресурс служб ИИ Azure затем шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Чтобы отключить управляемые клиентом ключи, выполните следующие действия.

  1. Перейдите к ресурсу служб ИИ Azure и выберите " Шифрование".
  2. Выберите управляемые ключи Майкрософт>Сохранить.

Если вы ранее включили ключи, управляемые клиентом, это также включило управляемое удостоверение, назначенное системой, что является функцией Microsoft Entra ID. После активации системного управляемого удостоверения этот ресурс будет зарегистрирован в Microsoft Entra ID. После регистрации управляемому удостоверению будет предоставлен доступ к хранилищу ключей, выбранному во время настройки клиентского ключа. Вы можете узнать подробнее об управляемых удостоверениях.

Внимание

Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать.

Внимание

В настоящее время управляемые удостоверения не поддерживают сценарии с различными директориями. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение автоматически назначается за кулисами. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в Передаче подписки между каталогами Microsoft Entra в часто задаваемых вопросах и известных проблемах с управляемыми удостоверениями для ресурсов Azure.

Следующие шаги