Compartir a través de

Azure OpenAI en Microsoft Foundry Models cifrado de datos en reposo

Nota:

Este documento hace referencia al portal de Microsoft Foundry (clásico).

🔍 Consulte la documentación de Microsoft Foundry (nuevo) para obtener información sobre el nuevo portal.

Azure OpenAI cifra automáticamente los datos cuando se conservan en la nube. El cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. En este artículo se explica cómo Azure OpenAI controla el cifrado de datos en reposo, específicamente los datos de entrenamiento y los modelos optimizados. Para obtener información sobre cómo se procesan, usan y almacenan los datos proporcionados por usted al servicio, consulte el artículo sobre datos, privacidad y seguridad.

Acerca del cifrado de Azure OpenAI

Los datos de Azure OpenAI se cifran y descifran mediante el cifrado AES compatible con FIPS 140-2 de 256 bits . El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.

Acerca de la administración de claves de cifrado

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También hay la opción de administrar la suscripción con sus propias claves denominadas claves administradas por el cliente (CMK). Estas claves ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar los controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.

Uso de claves administradas por el cliente con Azure Key Vault

Las claves administradas por el cliente (CMK), también conocidas como Bring Your Own Key (BYOK), ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.

Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. El recurso de Azure OpenAI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.

Para habilitar las claves administradas por el cliente, el almacén de claves que contiene las claves debe cumplir estos requisitos:

  • Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves.
  • Si usa el firewall de Key Vault, debe permitir que los servicios de Microsoft de confianza accedan al almacén de claves.
  • Permisos de Key Vault:
    • Si usa Azure RBAC, asigne el rol de usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada.
    • Si está utilizando Directivas de acceso a Vault, conceda permisos específicos de clave, como obtener, desencapsular clave y encapsular clave, a la identidad administrada asignada por el sistema o por el usuario del recurso de Azure OpenAI.

Solo se admiten las claves RSA y RSA-HSM de tamaño 2048 con el cifrado de Azure OpenAI. Para más información acerca de las claves, consulte la sección Claves en Key Vault en Información acerca de claves, secretos y certificados de Azure Key Vault.

Habilitación de la identidad administrada del recurso de Azure OpenAI

  1. Vaya al recurso de Azure OpenAI.
  2. A la izquierda, en Administración de recursos, seleccione Identidad.
  3. Cambie el estado de identidad administrada asignada por el sistema a Activado o agregue una identidad administrada asignada por el usuario.
  4. Guarde los cambios.

Asignar permisos de Key Vault a la identidad administrada

Configure los permisos adecuados para la identidad administrada asignada por el sistema o asignada por el usuario para acceder a Key Vault.

  1. Vaya al Key Vault en el portal de Azure.
  2. Seleccione Access Control (IAM).
  3. Seleccione + Agregar asignación de roles.
  4. Asigne el rol de usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada asignada por el sistema o por el usuario del recurso de Azure OpenAI.

Habilitación de claves administradas por el cliente en el recurso de Azure OpenAI

Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:

  1. Vaya al recurso de Azure OpenAI.

  2. A la izquierda, en Administración de recursos, seleccione Cifrado.

  3. En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en el recorte de pantalla siguiente.

    Recorte de pantalla que muestra cómo crear una experiencia de usuario de recursos.

Especificar una clave

Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla con el recurso de Azure OpenAI.

Especificación de una clave como URI

Para especificar una clave como URI, siga estos pasos:

  1. En Azure Portal, vaya al almacén de claves.

  2. En Objetos, seleccione Claves.

  3. Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.

  4. Copie el valor Identificador de clave, que proporciona el URI.

    Recorte de pantalla de la página de Azure Portal para una versión de clave. El cuadro Identificador de clave contiene un marcador de posición para un URI de clave.

  5. Vuelva al recurso de Azure OpenAI y seleccione Cifrado.

  6. En Clave de cifrado, seleccione Escribir el URI de la clave.

  7. Pegue el identificador URI que ha copiado en el cuadro URI de clave.

    Captura de pantalla de la página Cifrado de un recurso de Azure OpenAI. La opción Entrar URI de clave está seleccionada y el cuadro URI de clave contiene un valor.

  8. En Suscripción, seleccione la suscripción que contiene el almacén de claves.

  9. Guarde los cambios.

Selección de una clave de un almacén de claves

Para seleccionar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:

  1. Vaya al recurso de Azure OpenAI y seleccione Cifrado.

  2. En Clave de cifrado, seleccione Seleccionar de Key Vault.

  3. Seleccione el almacén de claves que contiene la clave que quiere usar.

  4. Seleccione la clave que quiera usar.

    Recorte de pantalla de la página Seleccionar clave de Azure Key Vault en Azure Portal. Los cuadros Suscripción, Almacén de claves, Clave y Versión contienen valores.

  5. Guarde los cambios.

Actualizar la versión de la clave

Al crear una nueva versión de una clave, actualice el recurso de Azure OpenAI para usar la nueva versión. Siga estos pasos:

  1. Vaya al recurso de Azure OpenAI y seleccione Cifrado.
  2. Escriba el URI de la nueva versión de clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
  3. Guarde los cambios.

Uso de una clave distinta

Para cambiar la clave que usa para el cifrado, siga estos pasos:

  1. Vaya al recurso de Azure OpenAI y seleccione Cifrado.
  2. Escriba el URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
  3. Guarde los cambios.

Rotación de claves administradas por el cliente

Puede rotar una clave administrada por el cliente en Key Vault según las directivas de cumplimiento. Cuando se rota la clave, debe actualizar el recurso de Azure OpenAI para que use el nuevo URI de la clave. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte Actualización de la versión de la clave.

La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No se requiere ninguna otra acción del usuario.

Revocar una clave administrada por el cliente

Puede revocar una clave de cifrado administrada por el cliente cambiando la directiva de acceso, cambiando los permisos en el almacén de claves o eliminando la clave.

Para cambiar la política de acceso de la identidad administrada que usa el registro, ejecute el comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Para eliminar las versiones individuales de una clave, ejecute el comando az-keyvault-key-delete. Esta operación requiere el permiso keys/delete.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Importante

Revocar el acceso a una clave administrada por el cliente activa, mientras que CMK todavía está habilitado, impedirá la descarga de archivos de resultados y datos de entrenamiento, el ajuste de nuevos modelos y la implementación de modelos ajustados. Sin embargo, los modelos optimizados previamente implementados seguirán funcionando y atendiendo el tráfico hasta que se eliminen esas implementaciones.

Eliminación de datos de resultados de entrenamiento, validación y entrenamiento

La API de archivos permite a los clientes cargar sus datos de entrenamiento con el fin de optimizar un modelo. Estos datos se almacenan en Azure Storage, dentro de la misma región que el recurso y aislados lógicamente con sus credenciales de API y su suscripción de Azure. El usuario puede eliminar los archivos cargados a través de la operación de DELETE API.

Eliminación de modelos e implementaciones optimizados

La API Fine-tunes permite a los clientes crear su propia versión optimizada de los modelos de OpenAI en función de los datos de entrenamiento que ha cargado en el servicio a través de las API de archivos. Los modelos preparados y ajustados se almacenan en Azure Storage en la misma región, se cifran en reposo (ya sea con claves administradas por Microsoft o por el cliente) y se aíslan lógicamente con su suscripción de Azure y sus credenciales de API. El usuario puede eliminar los modelos y las implementaciones optimizados mediante una llamada a la operación de DELETE API.

Deshabilitación de claves administradas por el cliente

Al deshabilitar las claves administradas por el cliente, el recurso de Azure OpenAI se cifra con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:

  1. Vaya al recurso de Azure OpenAI y seleccione Cifrado.
  2. Seleccione Claves administradas por Microsoft>Guardar.

Cuando habilitó previamente las claves administradas por el cliente, esto también habilitó una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, este recurso se registrará con Microsoft Entra ID. Después de registrarse, a la identidad administrada se le proporcionará acceso al almacén de claves seleccionado durante la configuración de la clave administrada por el cliente. Puede obtener más información sobre Identidades administradas.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, se quitará el acceso al almacén de claves y los datos cifrados con las claves de cliente dejarán de estar disponibles. Las características que dependan de estos datos dejarán de funcionar.

Importante

Actualmente, las identidades administradas no admiten escenarios entre directorios. Al configurar claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente ya no funcionen. Para obtener más información, consulte Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas más frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Pasos siguientes

  • Last updated on