Dela via

Kundhanterade nycklar för kryptering med Azure AI Foundry (Foundry-projekt)

Med kundhanterad nyckelkryptering (CMK) i Azure AI Foundry får du kontroll över krypteringen av dina data. Använd CMK:er för att lägga till ett extra skyddslager och uppfylla efterlevnadskraven med Azure Key Vault-integrering.

I den här artikeln lär du dig att:

  • Förstå Microsoft-hanterad kryptering jämfört med CMK.
  • Identifiera datalagringsmönster för hubbbaserade och projektbaserade resurser.
  • Välj ett alternativ för datalagringsarkitektur för hubbprojekt.
  • Konfigurera nödvändiga Key Vault-inställningar och behörigheter.
  • Planera rotation och återkallande.

Om kryptering i Azure AI Foundry

Azure AI Foundry är en tjänst i Azure-molnet. Som standard använder Azure-tjänster Microsoft-hanterade krypteringsnycklar för att kryptera data under överföring och i vila. Dina data krypteras alltid. CMK:er lägger till kundägarskap och rotationskontroll.

På din Azure AI Foundry-resurs krypteras och dekrypteras data med hjälp av FIPS 140-2-kompatibel256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data är säkra som standard och du behöver inte ändra din kod eller dina program för att dra nytta av kryptering.

Viktigt!

Om du ansluter Azure AI Foundry till andra Azure-verktyg rekommenderar vi att du konfigurerar CMK-kryptering på alla andra Azure-resurser för att optimera säkerheten.

Använda CMK:er med Azure Key Vault

Du måste använda Azure Key Vault för att lagra dina CMK:er. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv eller använda Key Vault-API:erna för att generera nycklar. Dina Azure-resurser och Key Vault-resurserna måste finnas i samma region och i samma Microsoft Entra-klientorganisation. Du kan använda olika prenumerationer för resurserna. Mer information om Key Vault finns i Vad är Azure Key Vault?.

  • Aktivera skydd mot mjuk borttagning och rensning i nyckelvalvet.
  • Tillåt betrodda Microsoft-tjänster att komma åt nyckelvalvet om du använder Key Vault-brandväggen.
  • Ge ditt Azure AI Foundry-projekt en systemtilldelad hanterad identitet med följande nyckelbehörigheter: get, wrapKey, unwrapKey.
  • Använd RSA eller RSA-HSM nycklar av storlek 2048. Andra nyckeltyper/storlekar stöds inte. Se avsnittet "Key Vault-nycklar" i Om Azure Key Vault-nycklar, hemligheter och certifikat.

Aktivera den hanterade identiteten för din Azure AI Foundry-resurs

Hanterad identitet måste vara aktiverad som en förutsättning för att använda CMK:er.

  1. Gå till din Azure AI Foundry-resurs i Azure-portalen.
  2. Till vänster går du till Resurshantering och väljer Identitet.
  3. Växla statusen för den systemtilldelade hanterade identiteten till .
  4. Spara ändringarna och bekräfta att du vill aktivera den systemtilldelade hanterade identiteten.

Aktivera kundhanterade nycklar

CMK-kryptering konfigureras via Azure-portalen (eller via infrastruktur som kod) på samma sätt för varje Azure-resurs.

Viktigt!

Nyckelvalvet som du använder för kryptering måste finnas i samma resursgrupp som Azure AI Foundry-projektet. Distributionsguider eller arbetsflöden för projektkonfiguration stöder för närvarande inte nyckelvalv i andra resursgrupper.

  1. Skapa en ny Azure AI Foundry-resurs i Azure-portalen.

  2. På fliken Kryptering väljer du Kryptera data med hjälp av en kundhanterad nyckel>Välj valv och nyckel. Välj sedan det nyckelvalv och den nyckel som ska användas.

    Skärmbild som visar fliken Kryptering för ett Azure AI Foundry-projekt med alternativet för kundhanterad nyckel valt.

  3. Fortsätt att skapa din resurs som vanligt.

Rotation av krypteringsnyckel

Rotera en Customer Managed Key (CMK) i Key Vault enligt dina efterlevnadsprinciper. När nyckeln roteras uppdaterar du Azure AI Foundry-resursen för att använda den nya nyckel-URI:n. Om du roterar nyckeln utlöses inte omkryptering av befintliga data.

Rotationsbegränsningar

  • Endast samma nyckelvalv: rotera till en annan nyckel i samma Key Vault-instans.
  • Omfång: Ny nyckel måste ha nödvändiga åtkomstprinciper.
  • Det går inte att återgå från CMK:er till Microsoft-hanterade nycklar efter växling.

Rotera krypteringsnycklar

  1. Skapa eller identifiera den nya nyckeln i nyckelvalvet.
  2. Uppdatera resurskonfigurationen för att referera till den nya nyckeln i samma nyckelvalv.
  3. Tjänsten börjar använda den nya nyckeln för nyligen lagrade data. befintliga data förblir under den tidigare nyckeln om de inte bearbetas på nytt.

Återkalla en kundhanterad nyckel

Ändra åtkomstprincipen, uppdatera behörigheter eller ta bort nyckeln.

Ta bort åtkomstprincip:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Ta bort nyckelversion:

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Om du återkallar åtkomsten till en aktiv CMK medan CMK-kryptering fortfarande är aktiverat förhindrar du nedladdning av träningsdata, finjustering av nya modeller och distribution av finjusterade modeller. Befintliga distributioner fortsätter tills de har tagits bort.

Azure-kostnad har lagts till när du använder CMK:er

Användning av CMK:er kan medföra extra underlinjekostnader på grund av dedikerad värd för vissa krypterade serverdelstjänster.

Begränsningar

  • Projekt kan uppdateras från Microsoft-hanterade nycklar till CMK:er men inte återställas.
  • Project CMK kan bara uppdateras till nycklar i samma Key Vault-instans.
  • Begärandeformulär som krävs för vissa tjänster: Azure AI Foundry Customer-Managed Key Request Form för tal- och innehållssäkerhet.
  • Lagringsrelaterade avgifter för kryptering med CMK fortsätter under behållning vid mjuk borttagning.

Relaterat innehåll