Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica solo a:
Portale di Foundry (versione classica). Questo articolo non è disponibile per il nuovo portale foundry.
Altre informazioni sul nuovo portale.
Nota
I collegamenti in questo articolo potrebbero aprire contenuto nella nuova documentazione di Microsoft Foundry anziché nella documentazione di Foundry (versione classica) visualizzata.
Importante
Questo articolo fornisce il supporto legacy per i progetti basati su hub. Non funzionerà per i progetti Foundry. Vedere Come si conosce il tipo di progetto di cui si dispone?
nota di compatibilità SDK: gli esempi di codice richiedono una versione specifica Microsoft Foundry SDK. Se si verificano problemi di compatibilità, valutare la possibilità di eseguire la migrazione da un progetto basato su hub a un progetto Foundry.
Suggerimento
È disponibile un articolo alternativo del progetto Foundry: Chiavi gestite daCustomer per la crittografia con Microsoft Foundry (progetti Foundry).
I progetti basati su hub richiedono la configurazione della chiave cmk in ogni servizio sottostante (Azure hub di intelligenza artificiale, archiviazione) per il controllo della crittografia end-to-end.
Architettura
La risorsa Azure AI Hub funge da gateway a più servizi di Azure. Configurare la chiave gestita dal cliente per servizio:
- Azure AI Hub / progetto hub (spazio di lavoro Machine Learning) – consultare la documentazione relativa alla crittografia dei dati di Machine Learning.
- Risorse tecnologiche di Foundry – compatibili con lo standard AES-256 FIPS 140-2
- Archiviazione di Azure account – archivia dati caricati (configura CMK in Archiviazione).
Opzioni di archiviazione dei dati
Due opzioni quando si usa CMK con hub:
- Dati crittografati sul lato servizio archiviati nella sottoscrizione di Microsoft (scelta consigliata). CMK a livello di documento, istanza dedicata per cliente di Azure AI Search per l'isolamento.
- Gruppo di risorse legacy gestite nella tua sottoscrizione (Cosmos DB, Storage, Azure AI Search). Solo compatibilità con le versioni precedenti.
Denominazione del gruppo di risorse gestite: azureml-rg-hubworkspacename_GUID. Eliminato quando l'hub è stato eliminato.
Dati delle risorse gestite
| Servizio | Utilizzare | Esempio |
|---|---|---|
| Azure Cosmos DB | Metadati per progetti/strumenti | Timestamp di creazione del flusso |
| Azure AI Search | Indici per l'esecuzione di query sul contenuto | Indice dei nomi di distribuzione del modello |
| Archiviazione di Azure | Istruzioni per l'orchestrazione | Rappresentazioni del flusso JSON |
utilizzo di Key Vault
Archiviare i CMK in Azure Key Vault (stessa regione e tenant). Abilitare l'eliminazione morbida e la protezione dalla cancellazione definitiva. Consentire servizi attendibili se si utilizza il firewall.
Concedere autorizzazioni di accesso, crittografia e decrittografia all'identità gestita assegnata dal sistema nell'hub.
Chiavi supportate: RSA/RSA-HSM 2048.
Creare un hub con chiavi gestite dal cliente
Per i clienti in settori altamente regolamentati, la creazione di un hub con chiavi gestite dal cliente (CMK) è un requisito fondamentale.
Prerequisiti
Prima di creare l'hub con cmk:
Creare e configurare Azure Key Vault nella stessa area e nello stesso tenant dell'hub pianificato:
- Abilitare l'eliminazione temporanea
- Abilitare la protezione dall'eliminazione
- Se si utilizza un firewall, consentire i servizi Microsoft attendibili
- Preparare una chiave RSA o RSA-HSM a 2048 bit
Pianificare l'approccio di archiviazione dei dati:
- Crittografia lato server (scelta consigliata): dati archiviati in abbonamento Microsoft
- Approccio legacy: gruppo di risorse gestito nella tua sottoscrizione
Assicurarsi di avere le autorizzazioni appropriate: sono necessarie autorizzazioni per creare l'hub e assegnare criteri di accesso per Key Vault
Configurare la chiave gestita dal cliente (CMK) durante la creazione dell'hub
Per creare un hub con cmk abilitato, seguire questa procedura nel portale di Azure:
- Avviare la procedura guidata Creare un hub di intelligenza artificiale Azure.
- Nella scheda Informazioni di base compilare i dettagli necessari.
- Passare alla scheda Crittografia .
- Selezionare Chiavi gestite dal cliente.
- Selezionare un Key Vault e una chiave.
- Scegliere il Key Vault esistente e la chiave creata nei prerequisiti.
- (Facoltativo) Configurare l'impostazione di crittografia lato servizio , se necessario.
- Continuare con le schede rimanenti (Networking, Tags) e selezionare Rivedi e poi crea.
- Selezionare Crea per completare la creazione dell'hub.
Dopo aver creato l'hub, il sistema assegna un'identità gestita che riceve le autorizzazioni Get, Wrap e Unwrap per la chiave specificata.
Vincoli di chiave gestiti dal cliente (permanenti)
- CMK deve essere configurato durante la creazione dell'hub; non è possibile aggiungere un CMK a un hub esistente.
- Non è possibile passare da chiavi gestite dal cliente a chiavi gestite Microsoft dopo la creazione.
- La rotazione delle chiavi è supportata solo all'interno dello stesso Azure Key Vault; la modifica dei Key Vault non è supportata.
Rotazione
Ruotare all'interno dello stesso Key Vault aggiornando l'hub a un nuovo URI di chiave. I dati esistenti non vengono ricrittografati; i nuovi dati usano la nuova chiave.
Revoca
Rimuovere i criteri di accesso o eliminare le versioni delle chiavi. La revoca interrompe nuove ottimizzazioni o download, ma le distribuzioni esistenti continuano a essere usate fino all'eliminazione.
Considerazioni sul costo
L'hosting dedicato di determinati servizi back-end sotto CMK comporta voci di dettaglio aggiuntive in Gestione Costi.