Dela via

Azure OpenAI i Azure AI Foundry Models kryptering av vilande data

Azure OpenAI krypterar automatiskt dina data när de sparas i molnet. Krypteringen skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Den här artikeln beskriver hur Azure OpenAI hanterar kryptering av vilande data, särskilt träningsdata och finjusterade modeller. Information om hur data som tillhandahålls av dig till tjänsten bearbetas, används och lagras finns i artikeln om data, sekretess och säkerhet.

Om Azure OpenAI-kryptering

Azure OpenAI-data krypteras och dekrypteras med FIPS 140-2-kompatibel256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data skyddas som standard och du behöver inte ändra din kod eller dina program för att utnyttja krypteringen.

Om hantering av krypteringsnycklar

Som standard använder din prenumeration krypteringsnycklar som hanteras av Microsoft. Det finns också möjlighet att hantera din prenumeration med dina egna nycklar som kallas kundhanterade nycklar (CMK). Med CMK får du större flexibilitet för att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.

Använda kundhanterade nycklar med Azure Key Vault

Kundhanterade nycklar (CMK), även kallade BYOK (Bring Your Own Key), ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.

Du måste använda Azure Key Vault till att lagra dina kundhanterade nycklar. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda Azure Key Vault-API:erna för att generera nycklar. Azure OpenAI-resursen och nyckelvalvet måste finnas i samma region och i samma Microsoft Entra-klientorganisation, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?.

För att aktivera kundhanterade nycklar måste nyckelvalvet som innehåller dina nycklar uppfylla följande krav:

  • Du måste aktivera både egenskaperna Mjuk radering och Inte rensa i nyckelvalvet.
  • Om du använder Key Vault-brandväggen måste du tillåta betrodda Microsoft-tjänster att komma åt nyckelvalvet.
  • Nyckelvalvet måste använda äldre åtkomstprinciper.
  • Du måste ge Azure OpenAI-resursens systemtilldelade hanterade identitet följande behörigheter för ditt nyckelvalv: få nyckel, kapsla in nyckel, avkapsla nyckel.

Endast RSA- och RSA-HSM nycklar av storlek 2048 stöds med Azure OpenAI-kryptering. Mer information om nycklar finns i Key Vault-nycklar i Om Azure Key Vault-nycklar, hemligheter och certifikat.

Aktivera din Azure OpenAI-resursens hanterade identitet

Anmärkning

Azure OpenAI stöder endast kundhanterade nycklar (CMK) med systemtilldelade hanterade identiteter. Användartilldelade hanterade identiteter stöds inte med Azure OpenAI och kundhanterade nycklar (CMK).

  1. Gå till din Azure OpenAI-resurs.
  2. Till vänster går du till Resurshantering och väljer Identitet.
  3. Växla statusen för den systemtilldelade hanterade identiteten till .
  4. Spara ändringarna och bekräfta att du vill aktivera den systemtilldelade hanterade identiteten.

Konfigurera åtkomstbehörigheter för nyckelvalvet

  1. I Azure Portal går du till ditt nyckelvalv.

  2. Till vänster väljer du Åtkomstprinciper.

    Om du ser ett meddelande om att åtkomstprinciper inte är tillgängliga konfigurerar du om nyckelvalvet så att det använder äldre åtkomstprinciper innan du fortsätter.

  3. Välj Skapa.

  4. Under Nyckelbehörigheter väljer du Hämta, Omslut nyckel och Lås upp nyckel. Låt de återstående kryssrutorna vara avmarkerade.

    Skärmbild av sidan Azure Portal för en nyckelvalvsåtkomstprincip. De behörigheter som har valts är Hämta nyckel, Wrap Key och Unwrap Key.

  5. Välj Nästa.

  6. Sök efter namnet på din Azure OpenAI-resurs och välj dess hanterade identitet.

  7. Välj Nästa.

  8. Välj Nästa om du vill hoppa över att konfigurera programinställningar.

  9. Välj Skapa.

Aktivera kundhanterade nycklar på din Azure OpenAI-resurs

Följ dessa steg för att aktivera kundhanterade nycklar i Azure Portal:

  1. Gå till din Azure OpenAI-resurs.

  2. Till vänster går du till Resurshantering och väljer Kryptering.

  3. Under Krypteringstyp väljer du Kundhanterade nycklar, enligt följande skärmbild.

    Skärmbild av hur du skapar en resursanvändarupplevelse.

Ange en nyckel

När du har aktiverat kundhanterade nycklar kan du ange en nyckel som ska associeras med Azure OpenAI-resursen.

Ange en nyckel som en URI

Följ dessa steg för att ange en nyckel som en URI:

  1. I Azure Portal går du till ditt nyckelvalv.

  2. Under Objekt väljer du Nycklar.

  3. Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.

  4. Kopiera nyckelidentifierarens värde, som tillhandahåller URI:n.

    Skärmbild av sidan Azure Portal för en nyckelversion. Rutan Nyckelidentifierare innehåller en platshållare för en nyckel-URI.

  5. Gå tillbaka till din Azure OpenAI-resurs och välj sedan Kryptering.

  6. Under Krypteringsnyckel väljer du Ange nyckel-URI.

  7. Klistra in den URI som du kopierade i rutan Nyckel-URI .

    Skärmbild av sidan Kryptering för en Azure OpenAI-resurs. Alternativet Ange nyckel-URI är markerat och rutan Nyckel-URI innehåller ett värde.

  8. Under Prenumeration väljer du den prenumeration som innehåller nyckelvalvet.

  9. Spara ändringarna.

Välj en nyckel från ett nyckelvalv

Om du vill välja en nyckel från ett nyckelvalv kontrollerar du först att du har ett nyckelvalv som innehåller en nyckel. Följ sedan de här stegen:

  1. Gå till din Azure OpenAI-resurs och välj sedan Kryptering.

  2. Under Krypteringsnyckel väljer du Välj från Nyckelvalv.

  3. Välj det nyckelvalv som innehåller den nyckel som du vill använda.

  4. Välj den nyckel som du vill använda.

    Skärmbild av sidan Välj nyckel från Azure Key Vault i Azure Portal. Rutorna Prenumeration, Nyckelvalv, Nyckel och Version innehåller värden.

  5. Spara ändringarna.

Uppdatera nyckelversionen

När du skapar en ny version av en nyckel uppdaterar du Azure OpenAI-resursen för att använda den nya versionen. Följ dessa steg:

  1. Gå till din Azure OpenAI-resurs och välj sedan Kryptering.
  2. Ange URI:n för den nya nyckelversionen. Alternativt kan du välja nyckelvalvet och sedan välja nyckeln igen för att uppdatera versionen.
  3. Spara ändringarna.

Använda en annan nyckel

Följ dessa steg om du vill ändra den nyckel som du använder för kryptering:

  1. Gå till din Azure OpenAI-resurs och välj sedan Kryptering.
  2. Ange URI:n för den nya nyckeln. Alternativt kan du välja nyckelvalvet och sedan välja en ny nyckel.
  3. Spara ändringarna.

Rotera kundhanterade nycklar

Du kan rotera en kundhanterad nyckel i Key Vault enligt dina efterlevnadsprinciper. När nyckeln roteras måste du uppdatera Azure OpenAI-resursen för att använda den nya nyckel-URI:n. Information om hur du uppdaterar resursen för att använda en ny version av nyckeln i Azure Portal finns i Uppdatera nyckelversionen.

Om du roterar nyckeln utlöses inte omkryptering av data i resursen. Ingen ytterligare åtgärd krävs från användaren.

Återkalla en kundhanterad nyckel

Du kan återkalla en kundhanterad krypteringsnyckel genom att ändra åtkomstprincipen, ändra behörigheterna för nyckelvalvet eller genom att ta bort nyckeln.

Om du vill ändra åtkomstprincipen för den hanterade identitet som ditt register använder kör du kommandot az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Om du vill ta bort enskilda versioner av en nyckel kör du kommandot az-keyvault-key-delete . Den här åtgärden kräver behörigheten nycklar/borttagning .

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Viktigt!

Om du återkallar åtkomsten till en aktiv kundhanterad nyckel medan CMK fortfarande är aktiverat förhindrar du nedladdning av träningsdata och resultatfiler, finjustering av nya modeller och distribution av finjusterade modeller. Tidigare distribuerade finjusterade modeller kommer dock fortsätta att fungera och hantera trafik tills dessa implementeringar tas bort.

Ta bort tränings-, validerings- och träningsresultatdata

Med API:et Files kan kunder ladda upp sina träningsdata för att finjustera en modell. Dessa data lagras i Azure Storage, inom samma region som resursen och isoleras logiskt med deras Azure-prenumeration och API-autentiseringsuppgifter. Uppladdade filer kan tas bort av användaren via åtgärden DELETE API.

Ta bort finjusterade modeller och distributioner

Med Fine-tunes-API:et kan kunderna skapa sin egen finjusterade version av OpenAI-modellerna baserat på träningsdata som du har laddat upp till tjänsten via Files-API:erna. De tränade finjusterade modellerna lagras i Azure Storage i samma region, krypteras i vila (antingen med Microsoft-hanterade nycklar eller kundhanterade nycklar) och isoleras logiskt med sina autentiseringsuppgifter för Azure-prenumerationen och API:et. Finjusterade modeller och distributioner kan tas bort av användaren genom att anropa åtgärden DELETE API.

Avaktivera kundhanterade nycklar

När du inaktiverar kundhanterade nycklar krypteras din Azure OpenAI-resurs med Microsoft-hanterade nycklar. Så här inaktiverar du kundhanterade nycklar:

  1. Gå till din Azure OpenAI-resurs och välj sedan Kryptering.
  2. Välj microsoft-hanterade nycklar>Spara.

När du tidigare aktiverat kundhanterade nycklar aktiverade detta även en systemtilldelad hanterad identitet, en funktion i Microsoft Entra-ID. När den systemtilldelade hanterade identiteten har aktiverats registreras den här resursen med Microsoft Entra-ID. När den hanterade identiteten har registrerats får den åtkomst till nyckelvalvet som valts under konfigurationen av kundhanterad nyckel. Du kan lära dig mer om hanterade identiteter.

Viktigt!

Om du inaktiverar systemtilldelade hanterade identiteter tas åtkomsten till nyckelvalvet bort och alla data som krypteras med kundnycklarna kommer inte längre att vara tillgängliga. Alla funktioner som är beroende av dessa data slutar fungera.

Viktigt!

Hanterade identiteter stöder för närvarande inte scenarier mellan kataloger. När du konfigurerar kundhanterade nycklar i Azure Portal tilldelas en hanterad identitet automatiskt i bakgrunden. Om du senare flyttar prenumerationen, resursgruppen eller resursen från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med resursen till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger i vanliga frågor och svar och kända problem med hanterade identiteter för Azure-resurser.

Nästa steg