中心项目的客户管理的密钥

基于中心的项目需要在每个基础服务（Azure AI 中心，存储）上配置 CMK，以便进行端到端加密控制。

Architecture

Azure AI 中心资源充当多个 Azure 服务的网关。 为每个服务配置 CMK：

• Azure AI 中心/中心项目 （机器学习工作区） - 请参阅 ML 数据加密文档。
• Foundry 资源 - 符合 AES-256 FIPS 140-2 标准。
• Azure 存储帐户 - 存储上传的数据（在存储中配置 CMK）。

数据存储选项

将 CMK 与中心配合使用时，有两个选项：

1. 在 Microsoft 订阅中存储的服务端加密数据（推荐）。 文档级别CMK，专属于每个客户的 Azure AI 搜索实例，用于隔离。
2. 订阅中的旧受管理资源组（Cosmos DB、存储、Azure AI 搜索）。 仅支持向后兼容性。

托管资源组命名： azureml-rg-hubworkspacename_GUID。 在中心被删除时删除。

托管资源数据

Key Vault 使用情况

将 CMK 存储在 Azure Key Vault（同一区域和租户） 中。 启用软删除和清除保护。 如果防火墙，则允许受信任的服务。

授予中心系统分配的托管标识：获取、封装、解封装权限。

支持的密钥：RSA/RSA-HSM 2048。

使用客户管理的密钥创建中心

对于监管严格的行业的客户，使用客户管理的密钥 (CMK) 创建中心是一项关键要求。 在初始创建枢纽时，您必须配置 CMK。 无法在使用Microsoft管理的密钥创建的现有中心上启用 CMK。

先决条件

在您使用 CMK 创建中心之前：

1. 在与计划中心相同的区域和租户中创建和配置 Azure Key Vault：

   • 启用软删除
   • 启用清除保护
   • 如果使用防火墙，请允许受信任的Microsoft服务
   • 准备 RSA 或 RSA-HSM 2048 位密钥

2. 规划数据存储方法：

   • 服务端加密（建议）：存储在Microsoft订阅中的数据
   • 传统方法：订阅中的受管理资源组

3. 确保适当的权限：需要权限才能创建中心并分配 Key Vault 访问策略

在创建中心期间配置 CMK

若要创建启用了 CMK 的中心，请在 Azure 门户中执行以下步骤：

1. 启动 “创建 Azure AI 中心 ”向导。
2. 在 “基本信息 ”选项卡上，填写所需的详细信息。
3. 导航到 “加密 ”选项卡。
4. 选择 客户管理的密钥。
5. 选择“选择密钥保管库和密钥”。
6. 选择您现有的 Key Vault 和您在先决条件中创建的密钥。
7. （可选）根据需要配置 服务端加密 设置。
8. 继续浏览其余选项卡（网络、标记），然后选择“ 查看 + 创建”。
9. 选择 “创建 ”以完成中心创建。

创建中心后，系统会分配一个托管标识，该标识接收指定密钥的“获取”、“包装”和“解包”权限。

旋转

在同一 Key Vault 中轮换；将中心更新为新的密钥 URI。 现有数据未重新加密;新数据使用新键。

限制：

• 必须在创建中心期间配置 CMK - 无法在创建后将 CMK 添加到现有中心或从Microsoft管理的密钥转换为 CMK。
• 密钥轮换必须使用同一个 Key Vault - 不能更改为不同的 Key Vault。
• 无法从 CMK 还原到Microsoft管理的密钥。

吊销

删除访问策略或删除密钥版本。 吊销会停止新的微调/下载，但现有部署会继续运行直到被删除。

成本注意事项

CMK 下特定后端服务的专用托管会导致成本管理中的额外子行项。

相关内容

• 禁用本地授权
• 什么是 Azure 密钥保管库？