Chaves gerenciadas pelo cliente para criptografia
A IA do Azure é criada com base em vários serviços do Azure. Enquanto os dados do cliente são armazenados com segurança usando as chaves de criptografia que a Microsoft fornece por padrão, você pode aprimorar sua segurança fornecendo suas próprias chaves (gerenciadas pelo cliente). As chaves que você fornece são armazenadas com segurança no Azure Key Vault.
Pré-requisitos
- Uma assinatura do Azure.
- Uma instância do Azure Key Vault. O cofre de chaves contém as chaves usadas para criptografar seus serviços.
- Ao criar a instância do cofre de chaves, habilite a exclusão temporária e a proteção de limpeza.
- A identidade gerenciada para os serviços protegidos por uma chave gerenciada pelo cliente deve ter as seguintes permissões no cofre de chaves:
- encapsular chave
- desencapsular chave
- get
O que são chaves gerenciadas pelo cliente?
Por padrão, a Microsoft cria e gerencia seus recursos em uma assinatura do Azure de propriedade da Microsoft e usa uma chave gerenciada pela Microsoft para criptografar os dados.
Quando você usa uma chave gerenciada pelo cliente, esses recursos ficam na sua assinatura do Azure e são criptografados com sua própria chave. Embora existam na sua assinatura, esses recursos ainda são gerenciados pela Microsoft. Eles são criados e configurados automaticamente quando você cria seu recurso da IA do Azure.
Esses recursos gerenciados pela Microsoft estão localizados em um novo grupo de recursos do Azure criado em sua assinatura. Esse grupo de recursos existe além do grupo de recursos do seu projeto. Ele contém os recursos gerenciados pela Microsoft com os quais sua chave é usada. O grupo do recurso será definido com base na fórmula <Azure AI resource group name><GUID>. Não é possível alterar a nomenclatura dos recursos nesse grupo de recursos gerenciado.
Dica
Se o recurso da IA do Azure usar um ponto de extremidade privado, esse grupo de recursos também conterá uma Rede Virtual do Azure gerenciada pela Microsoft. Essa VNet será usada para proteger as comunicações entre os serviços gerenciados e o projeto. Você não pode fornecer sua própria VNet para uso com os recursos gerenciados pela Microsoft. Você também não pode modificar a rede virtual. Por exemplo, você não pode alterar o intervalo de endereços IP que ela usa.
Importante
Se sua assinatura não tiver cota suficiente para esses serviços, ocorrerá uma falha.
Importante
Ao usar uma chave gerenciada pelo cliente, os custos da sua assinatura serão maiores porque esses recursos estão em sua assinatura. Use a Calculadora de Preços do Azure para estimar os custos.
Aviso
Não exclua do grupo de recursos gerenciados nenhum dos recursos criados automaticamente nesse grupo. Se você precisar excluir o grupo de recursos ou os serviços gerenciados pela Microsoft nele, deverá excluir os recursos de IA do Azure que o utilizam. Os recursos do grupo de recursos são excluídos quando o recurso de IA associado é excluído.
Habilitar chaves gerenciadas pelo cliente
O processo para habilitar chaves gerenciadas pelo cliente com o Azure Key Vault para serviços de IA do Azure varia por produto. Use estes links para obter instruções específicas do serviço:
- OpenAI do Azure
- Visão Personalizada do Azure
- Serviço de Detecção Facial de IA do Azure
- IA do Azure para Informação de Documentos
- Tradutor de IA do Azure
- Serviço de Linguagem de IA do Azure
- Fala de IA do Azure
- Content Moderator do Azure
- Personalizador do Azure
Como os dados de computação são armazenados
A IA do Azure usa recursos para instância de computação e computação sem servidor quando você ajusta modelos ou cria fluxos. A tabela a seguir descreve as opções de computação e como os dados são criptografados por cada uma:
| Computação | Criptografia |
|---|---|
| Instância de computação | O disco transitório local é criptografado. |
| Computação sem servidor | Disco do sistema operacional criptografado no Azure Armazenamento com chaves gerenciadas pela Microsoft. O disco temporário é criptografado. |
Instância de computação O disco do SO para instância de computação é criptografado com chaves gerenciadas pela Microsoft em contas de armazenamento gerenciadas pela Microsoft. Se o projeto foi criado com o parâmetro hbi_workspace definido como TRUE, o disco temporário local na instância de computação é criptografado com chaves gerenciadas pela Microsoft. Não há compatibilidade com a criptografia de chave gerenciada pelo cliente para o sistema operacional e o disco temporário.
Computação sem servidor O disco do SO para cada nó de computação armazenado no Armazenamento do Microsoft Azure é criptografado com chaves gerenciadas pela Microsoft. Esse destino de computação é efêmero e, normalmente, os clusters são reduzidos quando não há trabalhos na fila. A máquina virtual subjacente é desprovisionada e o disco do SO é excluído. Não há suporte para o Azure Disk Encryption do disco do SO.
Cada máquina virtual também tem um disco temporário local para operações do SO. Caso deseje, você pode usar o disco para preparar os dados de treinamento. Esse ambiente tem uma curta duração (durante o trabalho), e o suporte da criptografia é limitado apenas a chaves gerenciadas pelo sistema.
Limitações
- As chaves de criptografia não passam do recurso de IA do Azure para recursos dependentes, incluindo os Serviços de IA do Azure e o Armazenamento do Microsoft Azure quando configuradas no recurso de IA do Azure. Você deve definir a criptografia especificamente em cada recurso.
- A chave gerenciada pelo cliente para criptografia só pode ser atualizada para chaves na mesma instância do Azure Key Vault.
- Após a implantação, você não pode alternar de chaves gerenciadas pela Microsoft para chaves gerenciadas pelo cliente ou vice-versa.
- Os recursos criados no grupo de recursos do Azure gerenciado pela Microsoft em sua assinatura não podem ser modificados por você ou fornecidos por você no momento da criação como recursos existentes.
- Você não pode excluir recursos gerenciados pela Microsoft usados para chaves gerenciadas pelo cliente sem também excluir o projeto.
Conteúdo relacionado
- Formulário de Solicitação de Chave Gerenciada pelo Cliente dos Serviços de IA do Azure ainda é necessário para o Content Moderator e a Fala.
- O que é o Cofre da Chave do Azure?