Freigeben über

Azure OpenAI in Azure KI Foundry Modell-Verschlüsselung ruhender Daten

Von Azure OpenAI werden Ihre Daten beim persistenten Speichern in der Cloud automatisch verschlüsselt. Die Verschlüsselung schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. In diesem Artikel wird beschrieben, wie Azure OpenAI die Verschlüsselung ruhender Daten handhabt, insbesondere von Trainingsdaten und optimierten Modellen. Informationen dazu, wie von Ihnen für den Dienst bereitgestellte Daten verarbeitet, verwendet und gespeichert werden, finden Sie im Artikel zu Daten, Datenschutz und Sicherheit.

Informationen zur Azure OpenAI-Verschlüsselung

Azure OpenAI-Daten werden mit FIPS 140-2-kompatibler256-Bit-AES-Verschlüsselung verschlüsselt und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Optional können Sie Ihr Abonnement auch mit eigenen Schlüsseln verwalten, die kundenseitig verwaltete Schlüssel genannt werden. Kundenseitig verwaltete Schlüssel (CMK) bieten größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Verwenden kundenseitig verwalteter Schlüssel mit Azure Key Vault

Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMK) werden auch als Bring Your Own Key (BYOK) bezeichnet und bieten eine größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Sie müssen Azure Key Vault zum Speichern Ihrer vom Kunden verwalteten Schlüssel verwenden. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Die Azure OpenAI-Ressource und der Schlüsseltresor müssen sich in der gleichen Region und im gleichen Microsoft Entra-Mandant befinden, können aber auch in verschiedenen Abonnements sein. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).

Um kundenseitig verwaltete Schlüssel zu aktivieren, muss der Schlüsseltresor, der Ihre Schlüssel enthält, die folgenden Anforderungen erfüllen:

  • Sie müssen die Eigenschaften Vorläufiges Löschen und Do Not Purge (Nicht bereinigen) im Schlüsseltresor aktivieren.
  • Wenn Sie die Key Vault-Firewall verwenden, müssen Sie vertrauenswürdigen Microsoft-Diensten den Zugriff auf den Schlüsseltresor gewähren.
  • Der Schlüsseltresor muss Legacy-Zugriffsrichtlinien verwenden.
  • Sie müssen der systemseitig zugewiesenen verwalteten Identität der Azure OpenAI-Ressource die folgenden Berechtigungen für Ihren Schlüsseltresor erteilen: Schlüssel abrufen, Schlüssel packen, Schlüssel entpacken.

Nur RSA und RSA-HSM Schlüssel der Größe 2048 werden mit azure OpenAI-Verschlüsselung unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel in Informationen zu Schlüsseln, Geheimnissen und Zertifikaten in Azure Key Vault.

Aktivieren der verwalteten Identität Ihrer Azure OpenAI-Ressource

Hinweis

Azure OpenAI unterstützt nur vom Kunden verwaltete Schlüssel (CMK) mit vom System zugewiesenen verwalteten Identitäten. Vom Benutzer zugewiesene verwaltete Identitäten werden mit Azure OpenAI und vom Kunden verwalteten Schlüsseln (CMK) nicht unterstützt.

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource.
  2. Wählen Sie auf der linken Seite unter RessourcenverwaltungIdentität aus.
  3. Ändern Sie die systemseitig zugewiesene verwaltete Identität auf On.
  4. Speichern Sie Ihre Änderungen und bestätigen Sie, dass Sie die systemseitig zugewiesene verwaltete Identität aktivieren möchten.

Konfigurieren der Zugriffsberechtigungen Ihres Schlüsseltresors

  1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault.

  2. Wählen Sie auf der linken Seite Zugriffsrichtlinien aus.

    Wenn eine Meldung angezeigt wird, die Sie darauf hinweist, dass Zugriffsrichtlinien nicht verfügbar sind, konfigurieren Sie Ihren Schlüsseltresor neu, um Legacy-Zugriffsrichtlinien zu verwenden, bevor Sie fortfahren.

  3. Wählen Sie "Erstellen" aus.

  4. Wählen Sie unter Schlüsselberechtigungen die Berechtigungen Abrufen, Schlüssel packen und Schlüssel entpacken aus. Lassen Sie die anderen Kontrollkästchen deaktiviert.

    Screenshot der Azure-Portalseite für eine Zugriffsrichtlinie für den Schlüsseltresor. Die ausgewählten Berechtigungen sind Get Key, Wrap Key und Unwrap Key.

  5. Wählen Sie Weiteraus.

  6. Suchen Sie nach dem Namen Ihrer Azure OpenAI-Ressource und wählen Sie deren verwaltete Identität aus.

  7. Wählen Sie Weiteraus.

  8. Wählen Sie Weiter aus, um die Konfiguration von Anwendungseinstellungen zu überspringen.

  9. Wählen Sie "Erstellen" aus.

Aktivieren kundenseitig verwalteter Schlüssel in Ihrer Azure OpenAI-Ressource

Um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren, gehen Sie folgendermaßen vor:

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource.

  2. Wählen Sie auf der linken Seite unter RessourcenverwaltungVerschlüsselung aus.

  3. Wählen Sie unter Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel aus, wie im folgenden Screenshot gezeigt.

    Screenshot vom Erstellen einer Ressourcen-Benutzeroberfläche.

Angeben eines Schlüssels

Nachdem Sie vom Kunden verwaltete Schlüssel aktiviert haben, können Sie einen Schlüssel angeben, der der Azure OpenAI-Ressource zugeordnet werden soll.

Festlegen eines Schlüssels als URI

Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

  1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault.

  2. Wählen Sie unter Objekte die Option Schlüssel aus.

  3. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  4. Kopieren Sie den Wert für Schlüsselbezeichner, das den URI enthält.

    Screenshot der Azure-Portalseite für eine Schlüsselversion. Das Feld „Schlüsselbezeichner“ enthält einen Platzhalter für einen Schlüssel-URI.

  5. Wechseln Sie zurück zu Ihrer Azure OpenAI-Ressource, und wählen Sie dann "Verschlüsselung" aus.

  6. Wählen Sie unter Verschlüsselungsschlüssel die Option Schlüssel-URI eingeben aus.

  7. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein.

    Screenshot der Seite

  8. Wählen Sie unter Abonnement das Abonnement aus, das den Schlüsseltresor enthält.

  9. Speichern Sie Ihre Änderungen.

Auswählen eines Schlüssels aus einem Schlüsseltresor

Um einen Schlüssel aus einem Schlüsseltresor auszuwählen, müssen Sie zunächst sicherstellen, dass Sie über einen Schlüsseltresor mit einem Schlüssel verfügen. Gehen Sie dann wie folgt vor:

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource, und wählen Sie dann "Verschlüsselung" aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option Aus Schlüsseltresor auswählen aus.

  3. Wählen Sie den Schlüsseltresor mit dem Schlüssel aus, den Sie verwenden möchten.

  4. Wählen Sie den Schlüssel aus, den Sie verwenden möchten.

    Screenshot der Seite „Auswählen des Schlüssels aus Azure Key Vault“ im Azure-Portal. Die Felder „Abonnement“, „Schlüsseltresor“, „Schlüssel“ und „Version“ enthalten Werte.

  5. Speichern Sie Ihre Änderungen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Azure OpenAI-Ressource, um die neue Version zu verwenden. Folgen Sie diesen Schritten:

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource, und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für die neue Schlüsselversion ein. Alternativ können Sie den Key Vault auswählen und anschließend den Schlüssel erneut auswählen, um die Version zu aktualisieren.
  3. Speichern Sie Ihre Änderungen.

Verwenden eines anderen Schlüssels

Gehen Sie wie folgt vor, um den für die Verschlüsselung verwendeten Schlüssel zu ändern:

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource, und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für den neuen Schlüssel ein. Alternativ können Sie auch den Schlüsseltresor auswählen und dann einen neuen Schlüssel wählen.
  3. Speichern Sie Ihre Änderungen.

Rotieren von kundenseitig verwalteten Schlüsseln

Sie können einen kundenseitig verwalteten Schlüssel in Key Vault entsprechend Ihren Compliance-Richtlinien drehen. Wenn der Schlüssel gedreht wird, müssen Sie die Azure OpenAI-Ressource aktualisieren, um den neuen Schlüssel-URI zu verwenden. Informationen zum Aktualisieren der Ressource für die Verwendung einer neuen Version des Schlüssels im Azure-Portal finden Sie unter Aktualisieren der Schlüsselversion.

Durch Drehen des Schlüssels werden die Daten in der Ressource nicht erneut verschlüsselt. Es ist keine weitere Aktion vom Benutzer erforderlich.

Widerrufen eines kundenseitig verwalteten Schlüssels

Sie können einen kundenseitig verwalteten Verschlüsselungsschlüssel widerrufen, indem Sie die Zugriffsrichtlinie oder die Berechtigungen für den Schlüsseltresor ändern oder den Schlüssel löschen.

Führen Sie den Befehl az-keyvault-delete-policy aus, um die Zugriffsrichtlinie für die verwaltete Identität zu ändern, die von Ihrer Registrierung verwendet wird:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --key_id <key-vault-key-id>

Führen Sie den Befehl az-keyvault-key-delete aus, um die einzelnen Versionen eines Schlüssels zu löschen. Für diesen Vorgang wird die Berechtigung keys/delete benötigt.

az keyvault key delete  \
  --vault-name <key-vault-name> \
  --id <key-ID>

Von Bedeutung

Das Widerrufen des Zugriffs auf einen aktiven kundenseitig verwalteten Schlüssel, während der CMK noch aktiviert ist, verhindert das Herunterladen von Trainingsdaten und Ergebnisdateien, das Optimieren neuer Modelle und das Bereitstellen von optimierten Modellen. Zuvor bereitgestellte optimierte Modelle werden jedoch weiterhin betrieben und verarbeiten Datenverkehr, bis diese Bereitstellungen gelöscht werden.

Löschen von Trainings-, Validierungs- und Trainingsergebnisdaten

Mit der Datei-API können Kunden ihre Trainingsdaten zum Zweck der Optimierung eines Modells hochladen. Die Daten werden in Azure Storage in der gleichen Region wie die Ressource gespeichert und logisch mit dem zugehörigen Azure-Abonnement und den zugehörigen API-Anmeldeinformationen isoliert. Hochgeladene Dateien können vom Benutzer über den API-Vorgang DELETE gelöscht werden.

Löschen optimierter Modelle und Bereitstellungen

Mit der Optimierungs-API können Kunden ihre eigene optimierte Version der OpenAI-Modelle basierend auf den Trainingsdaten erstellen, die Sie über die Datei-APIs in den Dienst hochgeladen haben. Die trainierten und optimierten Modelle werden in Azure Storage in derselben Region gespeichert, im Ruhezustand verschlüsselt (entweder mit von Microsoft verwalteten Schlüsseln oder mit kundenseitig verwalteten Schlüsseln) und anhand der zugehörigen Azure-Abonnement- und API-Anmeldedaten logisch isoliert. Optimierte Modelle und Bereitstellungen können vom Benutzer durch Aufrufen des API-Vorgangs DELETE gelöscht werden.

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie vom Kunden verwaltete Schlüssel deaktivieren, wird Ihre Azure OpenAI-Ressource dann mit von Microsoft verwalteten Schlüsseln verschlüsselt. Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel zu deaktivieren:

  1. Wechseln Sie zu Ihrer Azure OpenAI-Ressource, und wählen Sie dann "Verschlüsselung" aus.
  2. Wählen Sie Von Microsoft verwaltete Schlüssel>Speichern aus.

Wenn Sie zuvor die vom Kunden verwalteten Schlüssel aktiviert haben, wurde damit auch eine vom System zugewiesene verwaltete Identität aktiviert, eine Funktion von Microsoft Entra ID. Sobald die systemseitig zugewiesene verwaltete Identität aktiviert ist, wird diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde. Sie können sich weiter über verwaltete Identitäten informieren.

Von Bedeutung

Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren nicht mehr.

Von Bedeutung

Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie vom Kunden verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die der Ressource zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.

Nächste Schritte