Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cifrado de clave administrada por el cliente (CMK) en Microsoft Foundry le proporciona control sobre el cifrado de los datos. Use CMK para agregar una capa de protección adicional y ayudar a cumplir los requisitos de cumplimiento con Azure Key Vault integración.
Microsoft Foundry proporciona funcionalidades de cifrado sólidas, incluida la capacidad de usar CMK almacenados en Key Vault para ayudar a proteger los datos confidenciales. El cifrado de CMK se aplica a los datos en reposo almacenados en las cuentas de almacenamiento asociadas del recurso Foundry, incluidos los artefactos del proyecto, los archivos cargados y los datos de evaluación.
En este artículo se explica cómo configurar el cifrado de CMK mediante Key Vault para el recurso foundry.
Nota
Debido a las restricciones de capacidad en la infraestructura de Búsqueda de Azure AI subyacente, el cifrado de clave administrada por el cliente (CMK) solo está disponible actualmente en regiones seleccionadas. Para obtener la lista de regiones admitidas, consulte Búsqueda de Azure AI disponibilidad regional.
Ventajas de CMKs
- La capacidad de usar sus propias claves para cifrar los datos en reposo.
- Integración con directivas de cumplimiento y seguridad de la organización.
- La capacidad de rotar o revocar claves para un control mejorado sobre el acceso a los datos cifrados.
Requisitos previos
Para configurar una CMK para Foundry, necesita:
Una suscripción de Azure activa para crear y administrar recursos Azure.
Una bóveda existente para almacenar tus claves. Estos requisitos también se aplican:
- Implemente el almacén de claves y el recurso Foundry en la misma región de Azure.
- Active la eliminación temporal y la protección contra purga en la bóveda de claves para ayudar a proteger las claves gestionadas por el cliente y prevenir eliminaciones accidentales o malintencionadas (es un requisito de Azure).
Para crear un almacén de claves, consulte Quickstart: Creación de un almacén de claves mediante el portal de Azure.
Una configuración de identidad administrada:
- Una identidad administrada asignada por el sistema habilitada para su recurso de Foundry.
- Una identidad administrada asignada por el usuario. Consulte Creación de una identidad administrada asignada por el usuario.
Permisos de Key Vault
- Si estás usando Azure RBAC, asigna el rol de Usuario criptográfico de Key Vault a la identidad administrada.
- Si usa directivas de acceso de bóveda, conceda permisos específicos de claves a la identidad administrada, como
unwrapKeyywrapKey.
Permisos de Azure suficientes:
- Rol de propietario o administrador de acceso de usuario en el almacén de claves para asignar roles de RBAC.
- Rol Colaborador o Propietario en el recurso Foundry para configurar las opciones de cifrado.
Antes de configurar un CMK, asegúrese de desplegar sus recursos en una región compatible. Para obtener más información sobre la compatibilidad regional con las características de Foundry, consulte Microsoft Disponibilidad de características de Foundry en regiones en la nube.
configuraciones de red de Key Vault
Cuando se usan redes privadas con el recurso Foundry, el Azure Key Vault proporcionado por el cliente que hospeda la CMK admite las siguientes configuraciones:
- Private link endpoint with "Allow trusted servicios Microsoft" enabled: El almacén de claves usa un punto de conexión privado para la conectividad y también permite el acceso desde servicios Microsoft de confianza. Esta es la configuración recomendada para entornos que requieren conectividad privada.
- "Permitir servicios de confianza de Microsoft" habilitado (sin un punto de conexión privado): El almacén de claves permite el acceso desde servicios de confianza de Microsoft a través del punto de conexión público. Habilite esta configuración para asegurarse de que el recurso Foundry pueda acceder al almacén de claves para las operaciones de cifrado.
Para configurar el acceso a servicios de confianza en su almacén de claves, vea Configurar cortafuegos y redes virtuales de Azure Key Vault.
Pasos para configurar una CMK
Paso 1: Creación o importación de una clave en el almacén de claves
Para generar una clave:
En el portal de Azure, vaya al almacén de claves.
En Configuración, seleccione Claves.
Seleccione + Generar/Importar.
Escriba un nombre de clave, elija el tipo de clave (como RSA o HSM respaldado) y configure el tamaño de clave (mínimo de 2048 bits) y los detalles de expiración.
Seleccione Crear para guardar la nueva clave.
La nueva clave aparece en la lista Claves .
Tenga en cuenta estas consideraciones:
- Los proyectos se pueden actualizar desde las claves administradas por Microsoft a las CMKs, pero no pueden revertirse.
- Las CMK del proyecto sólo se pueden actualizar a las claves de la misma bóveda de claves.
- Los cargos relacionados con el almacenamiento para el cifrado CMK continúan durante la retención en estado de eliminación temporal.
Para obtener más información, consulte Acerca de las claves.
Para importar una clave:
En su almacén de claves, vaya a la sección Claves.
Seleccione + Generar/Importar y, a continuación, elija la opción Importar .
Cargue el material de clave y proporcione los detalles necesarios para la configuración de claves.
Siga las indicaciones para completar el proceso de importación.
Paso 2: Concede permisos de la bóveda de claves a identidades administradas
Configure los permisos adecuados para la identidad administrada, ya sea asignada por el sistema o por el usuario, para acceder a la bóveda de claves.
En el portal de Azure, vaya al almacén de claves.
Seleccione Access Control (IAM).
Seleccione + Agregar asignación de roles.
Asigne el rol de usuario criptográfico Key Vault a la identidad administrada asignada por el sistema del recurso Foundry o a la identidad administrada asignada por el usuario.
La identidad administrada aparece en la lista de asignaciones de roles de la bóveda de claves.
Paso 3: Habilitar la CMK en Foundry
Puede habilitar CMK durante la creación de un recurso Foundry o actualizando un recurso existente. Durante la creación de recursos, el asistente le guía para utilizar una identidad administrada, ya sea asignada por el usuario o por el sistema. También le guía para seleccionar un almacén de claves donde se almacena la clave.
Si va a actualizar un recurso foundry existente, siga estos pasos para habilitar una CMK:
En el portal de Azure, abra el recurso Foundry.
Vaya a Gestión de Recursos>Cifrado.
Seleccione Customer-Managed Claves como tipo de cifrado.
Escriba la dirección URL del almacén de claves y el nombre de la clave.
Seleccione Guardar.
Para comprobar la configuración, vaya a Gestión de recursos>Cifrado y confirme que se muestra Claves gestionadas por el cliente como el tipo de cifrado activo, con su almacén de claves y nombre de clave mostrados.
Acceso al almacén: Azure RBAC frente a las directivas de acceso al almacén
Azure Key Vault admite dos modelos para administrar permisos de acceso:
Azure RBAC (recomendado):
- Proporciona control de acceso centralizado mediante roles de Microsoft Entra.
- Simplifica la administración de permisos para los recursos en Azure.
- Requiere el rol de usuario criptográfico Key Vault.
Directivas de acceso de la bóveda
- Permitir el control de acceso pormenorizado específico de los recursos de Key Vault.
- Son adecuados para las configuraciones en las que se necesitan valores de permisos heredados o aislados.
Elija el modelo que se alinee con los requisitos de la organización. Para las nuevas implementaciones, use Azure RBAC. Use las políticas de acceso a la bóveda solo cuando los requisitos existentes de la organización así lo requieran.
Monitorización y rotación de claves
Para mantener la seguridad y el cumplimiento óptimos, implemente los procedimientos siguientes:
- Enable Key Vault diagnostics: Supervise el uso de claves y la actividad de acceso habilitando el registro de diagnóstico en Azure Monitor o Log Analytics.
- Rotar claves periódicamente: Cree periódicamente una nueva versión de su clave en Key Vault. Actualice el recurso Foundry para hacer referencia a la versión de clave más reciente en su configuración de cifrado.
- Descripción del impacto en la revocación de claves: si revoca o elimina una CMK, los datos cifrados con esa clave se vuelven inaccesibles hasta que se restaure la clave. No purgue el almacén de claves ni la versión de la clave sin comprobar primero que los datos ya no son necesarios.
Solución de problemas
| Problema | Resolución |
|---|---|
| 403 Forbidden al habilitar CMK | Compruebe que la identidad administrada tiene el rol de "Usuario Cripto de Key Vault" (RBAC) o que dispone de unwrapKey y wrapKey permisos en las directivas de acceso del almacén de claves. |
| No se encontró el almacén de claves | Confirme que el almacén de claves está en la misma región de Azure que el recurso Foundry. |
| No se admite la versión de la clave | Use una clave RSA con un tamaño mínimo de 2048 bits. |
| Datos inaccesibles después de la revocación de claves | Restaure la versión de la clave en Key Vault. Los datos permanecen inaccesibles hasta que se restaura la clave. Póngase en contacto con el soporte de Azure si el almacén de claves ha sido purgado. |