azure openai key vault的进一步展开说明

# Azure OpenAI 服务中的数据在静态时的加密

**文章**

**2 位协作者 反馈**

**发布日期：**07/18/2023

## 目录

– 简介
– Azure AI 服务加密概述
– 加密密钥管理
– 使用 Azure Key Vault 存储自定义管理密钥
– 启用资源的自定义管理密钥
– 使用区别的密钥
– 旋转自定义管理密钥
– 撤消自定义管理密钥
– 删除训练、验证和训练结果数据
– 删除已部署的自定义模型
– 禁用自定义管理密钥
– 下一步

## 简介

Azure OpenAI 自动对云端持久存储的数据进行加密。该加密保护了您的数据，帮助您满足组织安全性和合规性的要求。本文讨论了 Azure OpenAI 怎么处理数据在静态时的加密，具体包括训练数据和经过精调的模型。有关您提供给服务的数据的处理、使用和存储的详细信息，请查阅与数据、隐私和安全有关的文章。

## Azure AI 服务加密概述

Azure OpenAI 是 Azure AI 服务的一部份。Azure AI 服务的数据使用符合 FIPS 140⑵ 标准的 256 位 AES 加密进行加密和解密。加密和解密是透明完成的，也就是说加密和访问是由系统管理的。您的数据默许是安全的，无需修改代码或利用程序便可享受加密的好处。

## 加密密钥管理

默许情况下，您的定阅使用 Microsoft 托管的加密密钥。还有一种选择是使用客户自己的密钥进行定阅的管理，这被称为客户自管理密钥 (CMK)。CMK 提供了更大的灵活性，可以创建、旋转、禁用和撤消访问控制。您还可以审计用于保护数据的加密密钥。

## 使用 Azure Key Vault 存储自定义管理密钥

客户自定义管理密钥（CMK），也称为”自带密钥” (BYOK)，提供了更大的灵活性，可以创建、旋转、禁用和撤消访问控制。您可使用 Azure Key Vault 来存储客户自定义的密钥。可以创建自己的密钥并将其存储在密钥保管库中，也能够使用 Azure Key Vault 的 API 生成密钥。Azure AI 服务资源和密钥保管库一定要位于同一区域和同一 Azure Active Directory (Azure AD) 租户中，但它们可以位于区别的定阅中。有关 Azure Key Vault 的详细信息，请参阅”甚么是 Azure Key Vault?”。

要申请使用客户自定义管理密钥的能力，请填写并提交 Azure AI 服务的客户自定义管理密钥申请表。您的申请状态将在大约3⑸个工作日内取得回复。

要启用客户自定义管理密钥，您还一定要在密钥保管库上同时启用 “软删除” 和”不清除” 属性。

Azure AI 服务加密仅支持 RSA 密钥，密钥长度为 2048。有关密钥的更多信息，请参阅”关于 Azure Key Vault 密钥、机密和证书的信息”中的”密钥保管库密钥”。

## 启用资源的自定义管理密钥

要在 Azure 门户上启用资源的自定义管理密钥，请依照以下步骤操作：

1. 转到 Azure AI 服务资源。在左边，选择”加密”。在”加密类型”下，选择”客户自管理密钥”，以下图所示。

2. 指定密钥

在启用了自定义管理密钥以后，您可以指定一个密钥与 Azure AI 服务资源关联。

– 指定密钥的 URI

要指定一个 URI 作为密钥，请依照以下步骤操作：

– 在 Azure 门户中，转到密钥保管库。在”设置”下，选择”密钥”。选择所需的密钥，然后选择”查看”以查看其版本设置。选择一个密钥版本以查看该版本的设置。复制”密钥标识符”值，该值提供了 URI。返回到 Azure AI 服务资源，然后选择”加密”。在”加密密钥”下，选择”输入密钥 URI”。将您复制的 URI 粘贴到”密钥 URI”框中。在”定阅”下，选择包括密钥保管库的定阅。保存您的更改。

– 从密钥保管库中指定一个密钥

要指定一个来自密钥保管库的密钥，首先确保您有一个包括密钥的密钥保管库，然后依照以下步骤操作：

– 转到 Azure AI 服务资源，然后选择”加密”。在”加密密钥”下，选择”从密钥保管库当选择”。选择包括您想要使用的密钥的密钥保管库。选择您想要使用的密钥。保存您的更改。

当您创建密钥的新版本时，更新 Azure AI 服务资源以使用新版本。依照以下步骤操作：

– 转到 Azure AI 服务资源，然后选择”加密”。输入新密钥版本的 URI。或，您可以选择密钥保管库，然后再次选择密钥以更新版本。保存您的更改。

## 使用区别的密钥

要更改用于加密的密钥，请依照以下步骤操作：

– 转到 Azure AI 服务资源，然后选择”加密”。输入新密钥的 URI。或，您可以选择密钥保管库，然后选择一个新的密钥。保存您的更改。

## 旋转自定义管理密钥

根据合规政策，您可以旋转自定义管理密钥。当密钥旋转时，您一定要更新 Azure AI 服务资源以使用新的密钥 URI。有关怎样在 Azure 门户中更新资源以使用密钥的新版本的详细信息，请参阅”更新密钥版本”。

旋转密钥不会触发对资源中数据的重新加密。用户不需要履行其他操作。

## 撤消自定义管理密钥

您可以通过更改访问策略、更改密钥保管库上的权限或删除密钥来撤消自定义管理加密密钥。

要更改注册表使用的受管标识的访问策略，请运行 az-keyvault-delete-policy 命令：

“`
az keyvault delete-policy
–resource-group
–name
–key_id
“`

要删除密钥的各个版本，请运行 az-keyvault-key-delete 命令。此操作需要 keys/delete 权限。

“`
az keyvault key delete
–name
–object-id $identityPrincipalID
“`

重要提示：在依然启用 CMK 的情况下撤消对活动自定义管理密钥的访问将会禁止下载训练数据和结果文件、针对新模型进行微调和部署经过微调的模型。不过，之前部署的经过微调的模型将继续运行并处理流量，直到删除这些部署为止。

## 删除训练、验证和训练结果数据

文件 API 允许客户上传训练数据，用于微调模型。这些数据存储在 Azure 存储中，与资源处于相同的区域，并且逻辑上与 Azure 定阅和 API 凭据隔离。用户可使用 DELETE API 操作来删除已上传的文件。

## 删除已部署的自定义模型

Fine-tunes API 允许客户基于通过文件 API 上传到服务的训练数据，创建自己的微调版本的 OpenAI 模型。经过训练的微调模型存储在 Azure 存储中，与资源位于相同的区域，并在静态时进行加密（可使用 Microsoft 托管的密钥或客户自定义的密钥）。用户可以调用 DELETE API 操作来删除微调模型和已部署的模型。

## 禁用自定义管理密钥

当您禁用自定义管理密钥时，Azure AI 服务资源将使用 Microsoft 托管的密钥进行加密。要禁用自定义管理密钥，请依照以下步骤操作：

– 转到 Azure AI 服务资源，然后选择”加密”。选择”Microsoft 托管密钥” > “保存”。

在您之前启用自定义管理密钥时，也会启用系统分配的受管标识，这是 Azure AD 的一个功能。启用系统分配的受管标识后，该资源将注册到 Azure Active Directory。注册完成后，受管标识将被授与访问在自定义管理密钥设置期间选择的密钥保管库的权限。您可以了解更多关于受管标识的信息。

重要提示：如果禁用了系统分配的受管标识，将删除对密钥保管库的访问权限，并且使用客户密钥加密的任何数据将没法访问。依赖这些数据的任何功能将停止工作。

重要提示：目前，受管标识不支持跨目录场景。当您在 Azure 门户中配置自定义管理密钥时，会自动分配一个受管标识。如果随后将定阅、资源组或资源从一个 Azure AD 目录移动到另外一个目录，与资源关联的受管标识将不会转移到新的租户中，因此客户自定义管理密钥可能没法工作。有关详细信息，请参阅”将定阅从 Azure AD 目录中转移到另外一个目录”常见问题和已知问题中的”Azure 资源的受管标识有哪几种限制?”。

## 下一步

在本文中，我们已详细介绍了 Azure OpenAI 服务中数据的静态时加密的各个方面。下一步，请根据您的需求和情况，根据指南设置您的加密选项，以确保数据的安全性和合规性并满足您的组织要求。如果您有任何疑问或需要进一步的帮助，请参阅 Azure AI 服务文档中的详细信息或联系我们的支持团队。

azure openai key vault的常见问答Q&A