다음을 통해 공유


암호화를 위해 고객 관리 키 사용

Azure AI는 여러 Azure 서비스를 토대로 빌드되었습니다. 고객 데이터는 Microsoft에서 기본적으로 제공하는 암호화 키를 사용하여 안전하게 저장되지만 사용자 고유의(고객 관리형) 키를 제공하여 보안을 강화할 수 있습니다. 제공하는 키는 Azure Key Vault에 안전하게 저장됩니다.

필수 구성 요소

  • Azure 구독
  • Azure Key Vault 인스턴스. 키 자격 증명 모음에는 서비스를 암호화하는 데 사용되는 키가 포함되어 있습니다.
    • 키 자격 증명 모음 인스턴스에서 일시 삭제와 제거 방지를 사용하도록 설정해야 합니다.
    • 고객 관리형 키로 보호되는 서비스의 관리 ID에는 키 자격 증명 모음에 다음 권한이 있어야 합니다.
      • 키 래핑
      • 키 래핑 해제
      • get

고객 관리형 키란?

기본적으로 Microsoft는 Microsoft 소유 Azure 구독에서 리소스를 만들고 관리하며 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다.

고객 관리형 키를 사용하는 경우 이러한 리소스는 Azure 구독에 있으며 사용자 고유의 키로 암호화됩니다. 구독에 있는 동안 이러한 리소스는 Microsoft에서 계속 관리됩니다. Azure AI 리소스를 만들 때 자동으로 만들어지고 구성됩니다.

Microsoft 관리형 리소스는 고객 구독에서 생성된 새 Azure 리소스 그룹에 있습니다. 이 리소스 그룹은 프로젝트의 리소스 그룹 외에 존재합니다. 여기에는 고객 키가 사용된 Microsoft에서 관리되는 리소스가 포함됩니다. 리소스 그룹의 이름은 <Azure AI resource group name><GUID>의 수식을 사용하여 지정됩니다. 이 관리되는 리소스 그룹의 리소스 이름은 변경할 수 없습니다.

AI 리소스에서 프라이빗 엔드포인트를 사용하는 경우 이 리소스 그룹에는 Microsoft 관리형 Azure Virtual Network도 포함됩니다. 이 VNet은 관리형 서비스와 프로젝트 간의 통신을 보호하는 데 사용됩니다. 고유한 VNet을 Microsoft 관리형 리소스에 사용하도록 제공할 수 없습니다. 가상 네트워크를 수정할 수도 없습니다. 예를 들어 사용하는 IP 주소 범위를 변경할 수 없습니다.

Important

구독에 서비스 할당량이 충분하지 않으면 오류가 발생합니다.

Important

고객 관리형 키를 사용하는 경우 리소스가 고객 구독에 있기 때문에 구독 비용이 증가합니다. 비용을 예측하려면 Azure 가격 계산기를 사용합니다.

Warning

이 그룹에서 자동으로 생성된 리소스는 관리되는 리소스 그룹을 삭제하지 마세요. 리소스 그룹 또는 Microsoft 관리형 서비스를 삭제해야 하는 경우 이를 사용하는 Azure AI 리소스를 삭제해야 합니다. 관련 AI 리소스를 삭제하면 리소스 그룹 리소스가 삭제됩니다.

고객 관리형 키 사용

Azure AI 서비스용 Azure Key Vault에서 고객 관리형 키를 사용하도록 설정하는 프로세스는 제품에 따라 다릅니다. 다음 링크를 사용하여 서비스별 지침을 따르세요.

컴퓨팅 데이터 저장 방법

Azure AI는 모델을 미세 조정하거나 흐름을 빌드할 때 컴퓨팅 인스턴스 및 서버리스 컴퓨팅에 리소스를 사용합니다. 다음 표에서는 컴퓨팅 옵션과 각 컴퓨팅 옵션에서 데이터를 암호화하는 방법을 설명합니다.

컴퓨팅 암호화
컴퓨팅 인스턴스 로컬 스크래치 디스크가 암호화됩니다.
서버리스 컴퓨팅 Azure Storage의 OS 디스크가 Microsoft 관리형 키를 사용하여 암호화됩니다. 임시 디스크가 암호화됩니다.

컴퓨팅 인스턴스 컴퓨팅 인스턴스용 OS 디스크는 Azure 관리형 스토리지 계정의 Microsoft 관리형 키로 암호화됩니다. hbi_workspace 매개 변수를 TRUE로 설정하여 프로젝트를 만든 경우 컴퓨팅 인스턴스의 로컬 임시 디스크는 Microsoft 관리형 키로 암호화됩니다. OS 및 임시 디스크에는 고객 관리형 키 암호화가 지원되지 않습니다.

서버리스 컴퓨팅 Azure Storage에 저장된 각 컴퓨팅 노드의 OS 디스크는 Microsoft 관리형 키로 암호화됩니다. 컴퓨팅 대상은 사용 후 삭제되며 대기 중인 작업이 없으면 일반적으로 클러스터가 축소됩니다. 기본 가상 머신의 프로비저닝이 해제되고 OS 디스크가 삭제됩니다. OS 디스크에는 Azure Disk Encryption이 지원되지 않습니다.

각 가상 머신에는 OS 작업을 위한 로컬 임시 디스크도 있습니다. 필요하면 디스크를 사용하여 학습 데이터를 준비할 수 있습니다. 이 환경은 작업 중에만 수명이 지속되며 암호화 지원이 시스템 관리형 키로만 제한됩니다.

제한 사항

  • Azure AI 리소스에 구성된 경우 암호화 키는 Azure AI 리소스에서 Azure AI Services 및 Azure Storage를 포함한 종속 리소스로 전달되지 않습니다. 각 리소스에 대해 암호화를 구체적으로 설정해야 합니다.
  • 암호화를 위한 고객 관리형 키는 동일한 Azure Key Vault 인스턴스의 키로만 업데이트할 수 있습니다.
  • 배포 후에는 Microsoft 관리형 키에서 고객 관리형 키로 전환하거나 그 반대로 전환할 수 없습니다.
  • 구독의 Microsoft 관리형 Azure 리소스 그룹에서 만든 리소스는 사용자가 수정할 수 없으며 생성 시 사용자가 기존 리소스로 제공할 수도 없습니다.
  • 프로젝트도 삭제해야 고객 관리형 키에 사용되는 Microsoft 관리형 리소스를 삭제할 수 있습니다.