Partilhar via


Chaves geridas pelo cliente para encriptação

A IA do Azure é criada com base em vários serviços do Azure. Embora os dados do cliente sejam armazenados de forma segura usando chaves de criptografia fornecidas pela Microsoft por padrão, você pode aprimorar sua segurança fornecendo suas próprias chaves (gerenciadas pelo cliente). As chaves fornecidas são armazenadas com segurança no Cofre de Chaves do Azure.

Pré-requisitos

  • Uma subscrição do Azure.
  • Uma instância do Azure Key Vault. O cofre de chaves contém as chaves usadas para criptografar seus serviços.
    • A instância do cofre de chaves deve habilitar a proteção contra exclusão suave e limpeza.
    • A identidade gerenciada para os serviços protegidos por uma chave gerenciada pelo cliente deve ter as seguintes permissões no cofre de chaves:
      • chave de embrulho
      • desembrulhar chave
      • get

O que são chaves gerenciadas pelo cliente?

Por padrão, a Microsoft cria e gerencia seus recursos em uma assinatura do Azure de propriedade da Microsoft e usa uma chave gerenciada pela Microsoft para criptografar os dados.

Quando você usa uma chave gerenciada pelo cliente, esses recursos vivem em sua assinatura do Azure e são criptografados com sua própria chave. Embora existam na sua subscrição, estes recursos continuam a ser geridos pela Microsoft. Eles são criados e configurados automaticamente quando você cria seu recurso de IA do Azure.

Esses recursos gerenciados pela Microsoft estão localizados em um novo grupo de recursos do Azure criado em sua assinatura. Este grupo de recursos existe além do grupo de recursos para o seu projeto. Ele contém os recursos gerenciados pela Microsoft com os quais sua chave é usada. O grupo de recursos é nomeado usando a fórmula de <Azure AI resource group name><GUID>. Não é possível alterar a nomenclatura dos recursos neste grupo de recursos gerenciados.

Gorjeta

Se seu recurso de IA usar um ponto de extremidade privado, esse grupo de recursos também conterá uma Rede Virtual do Azure gerenciada pela Microsoft. Essa rede virtual é usada para proteger as comunicações entre os serviços gerenciados e o projeto. Você não pode fornecer sua própria rede virtual para uso com os recursos gerenciados pela Microsoft. Também não é possível modificar a rede virtual. Por exemplo, não é possível alterar o intervalo de endereços IP que ele usa.

Importante

Se a sua subscrição não tiver quota suficiente para estes serviços, ocorrerá uma falha.

Importante

Ao usar uma chave gerenciada pelo cliente, os custos da sua assinatura serão maiores porque esses recursos estão na sua assinatura. Para estimar o custo, use a calculadora de preços do Azure.

Aviso

Não exclua o grupo de recursos gerenciado nenhum dos recursos criados automaticamente nesse grupo. Se você precisar excluir o grupo de recursos ou os serviços gerenciados pela Microsoft nele, deverá excluir os recursos de IA do Azure que o usam. Os recursos do grupo de recursos são excluídos quando o recurso de IA associado é excluído.

Ativar as chaves geridas pelo cliente

O processo para habilitar chaves gerenciadas pelo cliente com o Azure Key Vault para serviços de IA do Azure varia de acordo com o produto. Use estes links para obter instruções específicas do serviço:

Como os dados de computação são armazenados

A IA do Azure usa recursos para instância de computação e computação sem servidor quando você ajusta modelos ou cria fluxos. A tabela a seguir descreve as opções de computação e como os dados são criptografados por cada uma:

Computação Encriptação
Instância de computação O disco de trabalho local é encriptado.
Computação sem servidor Disco do SO encriptado no Armazenamento do Azure com chaves geridas pela Microsoft. O disco temporário é encriptado.

Instância de computação O disco do SO para instância de computação é encriptado com chaves geridas pela Microsoft em contas de armazenamento geridas pela Microsoft. Se o projeto foi criado com o hbi_workspace parâmetro definido como TRUE, o disco temporário local na instância de computação é criptografado com chaves gerenciadas pela Microsoft. A criptografia de chave gerenciada pelo cliente não é suportada para SO e disco temporário.

Computação sem servidor O disco do SO para cada nó de computação armazenado no Armazenamento do Azure é encriptado com chaves geridas pela Microsoft. Esse destino de computação é efêmero e os clusters normalmente são reduzidos quando nenhum trabalho é enfileirado. A máquina virtual subjacente é desprovisionada e o disco do sistema operacional é excluído. O Azure Disk Encryption não tem suporte para o disco do sistema operacional.

Cada máquina virtual também tem um disco temporário local para operações do sistema operacional. Se desejar, você pode usar o disco para preparar dados de treinamento. Este ambiente é de curta duração (apenas durante o seu trabalho) e o suporte de encriptação está limitado apenas a chaves geridas pelo sistema.

Limitações

  • As chaves de criptografia não passam do recurso de IA do Azure para recursos dependentes, incluindo os Serviços de IA do Azure e o Armazenamento do Azure quando configuradas no recurso de IA do Azure. Você deve definir a criptografia especificamente em cada recurso.
  • A chave gerenciada pelo cliente para criptografia só pode ser atualizada para chaves na mesma instância do Cofre de Chaves do Azure.
  • Após a implantação, você não pode alternar de chaves gerenciadas pela Microsoft para chaves gerenciadas pelo cliente ou vice-versa.
  • Os recursos criados no grupo de recursos do Azure gerenciado pela Microsoft em sua assinatura não podem ser modificados por você ou fornecidos por você no momento da criação como recursos existentes.
  • Não é possível excluir recursos gerenciados pela Microsoft usados para chaves gerenciadas pelo cliente sem excluir também seu projeto.