Compartilhar via

Criptografia de dados inativos do OpenAI do Azure em Modelos da Fábrica Microsoft

Observação

Este documento refere-se ao portal do Microsoft Foundry (clássico ).

🔍 Exiba a documentação do Microsoft Foundry (novo) para saber mais sobre o novo portal.

A OpenAI do Azure criptografa automaticamente os dados quando eles são persistidos na nuvem. A criptografia protege seus dados e ajuda a atender aos compromissos de conformidade e segurança de sua organização. Este artigo aborda como a OpenAI do Azure lida com a criptografia de dados inativos, especificamente dados de treinamento e modelos ajustados. Para obter informações sobre como os dados fornecidos por você para o serviço são processados, usados e armazenados, consulte o artigo dados, privacidade e segurança.

Sobre a criptografia do Azure OpenAI

Os dados do Azure OpenAI são criptografados e descriptografados usando a criptografia AES compatível com FIPS 140-2de 256 bits . A criptografia e a descriptografia são transparentes, o que significa que a criptografia e o acesso são gerenciados para você. Como os dados são protegidos por padrão, você não precisa modificar seu código ou seus aplicativos para aproveitar a criptografia.

Sobre o gerenciamento de chaves de criptografia

Por padrão, sua assinatura usa chaves de criptografia gerenciadas pela Microsoft. Também há a opção de gerenciar sua assinatura com as próprias chaves chamada CMK (chaves gerenciadas pelo cliente). A CMK oferece maior flexibilidade para criar, desabilitar e revogar controles de acesso, assim como fazer a rotação deles. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Usar chaves gerenciadas pelo cliente com o Azure Key Vault

A CMK (chaves gerenciadas pelo cliente), também conhecida como BYOK (Bring Your Own Key), oferecem maior flexibilidade para criar, desabilitar e revogar controles de acesso, assim como fazer a rotação deles. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O recurso do OpenAI do Azure e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.

Para habilitar chaves gerenciadas pelo cliente, o cofre de chaves que contém suas chaves deve atender a estes requisitos:

  • Habilite as propriedades Exclusão Temporária e Não Limpar no cofre de chaves.
  • Se você usar o firewall do Key Vault, deverá permitir que serviços confiáveis da Microsoft acessem o cofre de chaves.
  • Permissões do Key Vault:
    • Se você estiver usando o RBAC do Azure, atribua a função de usuário do Key Vault Crypto Service Encryption à identidade gerenciada.
    • Se você estiver usando as Políticas de Acesso do Vault, conceda permissões específicas relacionadas à chave, obter, desencapsular chave e encapsular chave, para a identidade gerenciada atribuída pelo sistema ou pelo usuário do recurso Azure OpenAI.

Somente as chaves RSA e RSA-HSM do tamanho 2048 têm suporte com a criptografia do Azure OpenAI. Para obter mais informações sobre chaves, confira Chaves do Key Vault em Sobre chaves, segredos e certificados do Azure Key Vault.

Habilitar a identidade gerenciada do recurso do OpenAI do Azure

  1. Vá para o recurso do Azure OpenAI.
  2. À esquerda, em Gerenciamento de Recursos, selecione Identidade.
  3. Alterne o status de identidade gerenciada atribuída pelo sistema para Ativado ou adicione uma identidade gerenciada atribuída pelo usuário.
  4. Salve suas alterações.

Conceder permissões do Key Vault para a identidade gerenciada

Configure as permissões apropriadas para que a identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário acesse o Key Vault.

  1. Vá para o Key Vault no portal do Azure.
  2. Selecione Controle de Acesso (IAM).
  3. Escolha Adicionar atribuição de função.
  4. Atribua a função de Usuário do Serviço de Criptografia do Key Vault à identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário do recurso Azure OpenAI.

Habilitar chaves gerenciadas pelo cliente em seu recurso do OpenAI do Azure

Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:

  1. Vá para o recurso do Azure OpenAI.

  2. À esquerda, em Gerenciamento de Recursos, selecione Criptografia.

  3. Em Criptografia, selecione Chaves Gerenciadas pelo Cliente, conforme mostrado na captura de tela a seguir.

    Captura de tela da experiência de criação de um recurso.

Especificar uma chave

Depois de habilitar chaves gerenciadas pelo cliente, você pode especificar uma chave a ser associada ao recurso do Azure OpenAI.

Especificar uma chave como URI

Para especificar uma chave como um URI, siga estas etapas:

  1. No portal do Azure, acesse o seu cofre de chaves.

  2. Em Objetos, selecione Chaves.

  3. Selecione a chave desejada e, em seguida, selecione a chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

  4. Copie o valor do Identificador da Chave, que fornece o URI.

    Captura de tela da página do portal do Azure para uma versão de chave. A caixa Identificador de Chave contém um espaço reservado para um URI de chave.

  5. Volte para o recurso do Azure OpenAI e selecione Criptografia.

  6. Em Chave de criptografia, selecione Inserir URI de chave.

  7. Cole o URI que você copiou na caixa URI da Chave.

    Captura de tela da página Criptografia de um recurso do Azure OpenAI. A opção Inserir URI de chave está selecionada e a caixa URI da chave contém um valor.

  8. Em Assinatura Digital, selecione a assinatura digital que contém o cofre de chaves.

  9. Salve suas alterações.

Selecionar uma chave de um cofre de chaves

Para selecionar uma chave de um cofre de chaves, primeiro verifique se você tem um cofre de chaves que contém uma chave. Em seguida, siga estas etapas:

  1. Vá para o recurso do Azure OpenAI e selecione Criptografia.

  2. Em Chave de criptografia, escolha Selecionar no Key Vault.

  3. Selecione o cofre de chaves que contém a chave que você deseja usar.

  4. Selecione a chave que você deseja usar.

    Captura de tela da página Selecionar chave do Azure Key Vault no portal do Azure. As caixas Assinatura, Cofre de chaves, Chave e Versão contêm valores.

  5. Salve suas alterações.

Atualizar a versão da chave

Ao criar uma nova versão de uma chave, atualize o recurso do Azure OpenAI para usar a nova versão. Siga estas etapas:

  1. Vá para o recurso do Azure OpenAI e selecione Criptografia.
  2. Insira o URI da nova versão da chave. Como alternativa, você pode selecionar o cofre de chaves e, em seguida, selecionar a chave novamente para atualizar a versão.
  3. Salve suas alterações.

Usar uma chave diferente

Para alterar a chave que você usa para criptografia, siga estas etapas:

  1. Vá para o recurso do Azure OpenAI e selecione Criptografia.
  2. Insira o URI da nova chave. Como alternativa, é possível selecionar o cofre de chaves e, em seguida, selecionar uma nova chave.
  3. Salve suas alterações.

Fazer a rotação de chaves gerenciadas pelo cliente

É possível girar uma chave gerenciada pelo cliente no Key Vault de acordo com suas políticas de conformidade. Quando a chave é girada, você deve atualizar o recurso do Azure OpenAI para usar o novo URI de chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, confira Atualizar a versão da chave.

Girar a chave não dispara a recriptografia de dados no recurso. Nenhuma outra ação do usuário é necessária.

Revogar chaves gerenciadas pelo cliente

É possível revogar a chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para alterar a política de acesso da identidade gerenciada usada pelo seu Registro, execute o comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Para excluir as versões individuais de uma chave, execute o comando az-keyvault-key-delete. Essa operação requer a permissão chaves/exclusão.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Importante

A revogação do acesso a uma chave gerenciada pelo cliente ativa enquanto a CMK ainda estiver habilitada impedirá o download de arquivos de resultados e dados de treinamento, o ajuste de novos modelos e a implantação dos modelos ajustados. No entanto, os modelos ajustados implantados anteriormente continuarão operando e atendendo ao tráfego, até que essas implantações sejam excluídas.

Excluir dados de treinamento, validação e resultados de treinamento

A API de Arquivos permite que os clientes carreguem seus dados de treinamento com a finalidade de ajustar um modelo. Esses dados são armazenados no Armazenamento do Azure, na mesma região do recurso e logicamente isolados com sua assinatura do Azure e credenciais de API. Os arquivos carregados podem ser excluídos pelo usuário por meio da operação da API DELETE.

Excluir modelos e implantações ajustados

A API Fine-tunes permite que os clientes criem sua própria versão ajustada dos modelos OpenAI com base nos dados de treinamento que você carregou no serviço por meio das APIs de Arquivos. Os modelos treinados e ajustados são armazenados no Armazenamento do Azure na mesma região, criptografados em repouso (com chaves gerenciadas pela Microsoft ou pelo cliente) e logicamente isolados com suas credenciais de assinatura e API do Azure. Modelos e implementações ajustadas podem ser excluídas pelo usuário chamando a operação da API DELETE.

Desabilitar as chaves gerenciadas pelo cliente

Quando você desabilitar chaves gerenciadas pelo cliente, o recurso do Azure OpenAI será criptografado com chaves gerenciadas pela Microsoft. Para desabilitar as chaves gerenciadas pelo cliente, siga estas etapas:

  1. Vá para o recurso do Azure OpenAI e selecione Criptografia.
  2. Selecione Chaves gerenciadas pela Microsoft>Salvar.

Quando você habilitou anteriormente as chaves gerenciadas pelo cliente, isso também habilitou uma identidade gerenciada atribuída pelo sistema, um recurso do Microsoft Entra ID. Depois que a identidade gerenciada atribuída pelo sistema estiver habilitada, esse recurso será registrado com o Microsoft Entra ID. Depois de ser registrada, a identidade gerenciada receberá acesso ao cofre de chaves selecionado durante a configuração de chave gerenciada pelo cliente. Saiba mais sobre Identidades gerenciadas.

Importante

Se você desabilitar as identidades gerenciadas atribuídas ao sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos dependentes desses dados deixarão de funcionar.

Importante

Identidades gerenciadas não têm suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é automaticamente atribuída em segundo plano. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Como transferir uma assinatura entre diretórios do Microsoft Entra em perguntas frequentes e problemas conhecidos com identidades gerenciadas para recursos do Azure.

Próximas etapas

  • Last updated on