用於加密的客戶自控金鑰

Azure AI 是以多項 Azure 服務為基礎建構而成。 雖然客戶資料預設會使用 Microsoft 提供的加密金鑰安全地儲存，但您可以提供自己的 (客戶自控) 金鑰來增強安全性。 您提供的金鑰會安全地儲存在 Azure Key Vault 中。

先決條件

• Azure 訂用帳戶。
• Azure Key Vault 執行個體。 金鑰保存庫包含用來加密您的服務的金鑰。
  • 金鑰保存庫執行個體必須啟用虛刪除和清除保護。
  • 使用客戶自控金鑰保護的服務的受控識別必須具有金鑰保存庫中的下列權限：
    • 包裝金鑰
    • 將金鑰解除包裝
    • get

客戶自控金鑰是什麼？

根據預設，Microsoft 會在 Microsoft 擁有的 Azure 訂用帳戶中建立及管理資源，並使用 Microsoft 管理的金鑰來加密資料。

當您使用客戶自控金鑰時，這些資源會位於您的 Azure 訂用帳戶中，並使用您自己的金鑰加密。 當資源存在於您的訂用帳戶中時，這些資源仍然是由 Microsoft 管理。 前述資源會在您建立 Azure AI 資源時自動建立和設定。

這些 Microsoft 管理的資源會位於在您的訂用帳戶中建立新的 Azure 資源群組中。 這是除了專案資源群組外的資源群組。 其會包含與金鑰搭配使用、由 Microsoft 管理的資源。 資源群組會使用 <Azure AI resource group name><GUID> 的公式來命名。 您無法變更此受控資源群組中的資源命名。

啟用客戶管理的金鑰

啟用 Azure Key Vault 的客戶管理金鑰配合 Foundry 工具的流程，會因不同產品而異。 可使用這些連結取得針對服務的說明：

• Azure OpenAI
• Azure 自訂視覺
• Azure AI 內容安全
• Azure AI 人臉辨識
• Azure Document Intelligence
• Azure 翻譯工具
• Azure Language
• Azure 語音
• Azure 內容仲裁器
• Azure 個人化工具

計算資料的儲存方式

您微調模型或組建流程時，Azure AI 會使用計算執行個體和無伺服器計算的資源。 下表描述計算選項，以及每一個計算選項如何加密資料：

計算執行個體 計算執行個體的 OS 磁碟是由 Microsoft 管理儲存體帳戶中的 Microsoft 管理金鑰來加密。 如果是以 hbi_workspace 參數設定為 TRUE 來建立專案，則會使用 Microsoft 管理金鑰來加密計算執行個體上的本機暫存磁碟。 OS 磁碟和暫存磁碟不支援客戶自控金鑰加密。

無伺服器計算 儲存在 Azure 儲存體的每個計算節點 OS 磁碟，都會使用 Microsoft 管理金鑰進行加密。 此計算目標是暫時的，而且通常會在沒有任何作業排入佇列時縮小叢集。 底層虛擬機器已解除佈建，且 OS 磁碟已刪除。 OS 磁碟不支援 Azure 磁碟加密。

每部虛擬機器也會有本機暫存磁碟供 OS 作業使用。 如果您想要的話，可以使用磁碟來暫存定型資料。 此環境很短暫 (只在作業期間)，而且加密支援僅限於系統受控金鑰。

限制

• 加密金鑰在配置於 Azure AI 資源時，不會傳過去到相依資源，包括 Foundry 工具和 Azure 儲存體。 您必須在每個資源特別設定加密。
• 客戶用於加密的自控金鑰，只能更新為相同 Azure Key Vault 執行個體中的金鑰。
• 部署之後，您無法從 Microsoft 管理金鑰切換至客戶自控密鑰，反之亦然。
• 訂用帳戶中於 Microsoft 管理 Azure 資源群組中建立的資源無法由您修改，也無法由您在建立時提供為現有資源。
• 您無法只刪除用於客戶自控金鑰的 Microsoft 受控資源，而不一併刪除專案。

相關內容

• 語音和內容仲裁者仍需要 Foundry Tools 客戶自控金鑰要求表單。
• 什麼是 Azure Key Vault？