Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La crittografia della chiave gestita dal cliente (CMK) in Microsoft Foundry consente di controllare la crittografia dei dati. Usare i CMK per aggiungere un livello di protezione supplementare e soddisfare i requisiti di conformità grazie all'integrazione con Azure Key Vault o il Modulo di Protezione Hardware Gestito di Azure.
Microsoft Foundry offre funzionalità di crittografia affidabili, inclusa la possibilità di usare i cmk archiviati in Key Vault o HSM gestito per proteggere i dati sensibili. La crittografia cmk si applica ai dati inattivi archiviati negli account di archiviazione associati della risorsa Foundry, inclusi gli artefatti del progetto, i file caricati e i dati di valutazione.
Questo articolo illustra come configurare la crittografia cmk usando Key Vault o HSM gestito per la risorsa Foundry.
Nota
A causa dei vincoli di capacità nell'infrastruttura di Azure AI Search sottostante, la crittografia della chiave gestita dal cliente è attualmente disponibile solo nelle aree selezionate. Per l'elenco delle aree supportate, vedere Azure AI Search disponibilità a livello di area.
Vantaggi dei cmk
- Possibilità di usare le proprie chiavi per crittografare i dati a riposo.
- Integrazione con i criteri di sicurezza e conformità dell'organizzazione.
- Possibilità di ruotare o revocare le chiavi per un controllo avanzato sull'accesso ai dati crittografati.
Prerequisiti
Per configurare un CMK per Foundry, è necessario:
Una sottoscrizione Azure attiva per creare e gestire le risorse Azure.
Un key vault esistente o un HSM gestito per archiviare le tue chiavi. Questi requisiti si applicano anche:
- Distribuire l'archivio chiavi e la risorsa Foundry nella stessa area Azure.
- Abilitare l'eliminazione reversibile e la protezione da eliminazione definitiva nell'archivio delle chiavi per tutelare le chiavi gestite dal cliente da eliminazioni accidentali o dolose (richiesto da Azure).
Per creare un key vault, vedere Quickstart: Creare un key vault usando il portale di Azure. Per creare un modulo di protezione hardware gestito, vedere Quickstart: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando il portale di Azure.
Configurazione dell'identità gestita:
- Una identità gestita dal sistema assegnata alla tua risorsa Foundry.
- Identità gestita assegnata dall'utente. Vedere Creare un'identità gestita assegnata dall'utente.
Permessi del Keystore:
- Per Key Vault con controllo degli accessi in base al ruolo di Azure, assegnare il ruolo di utente della crittografia di Key Vault all'identità gestita.
- Per Key Vault con criteri di accesso all'insieme di credenziali, concedere autorizzazioni specifiche della chiave all'identità gestita, ad esempio
unwrapKeyewrapKey. - Per HSM gestito, assegnare il ruolo di "Utente di crittografia HSM gestito" all'identità gestita nell'ambito corretto. Per altre informazioni, vedere Ruoli predefiniti RBAC locale del modulo HSM gestito.
Autorizzazioni Azure sufficienti:
- Ruolo Proprietario o Amministratore dell'accesso utente nell'insieme di credenziali delle chiavi per assegnare i ruoli RBAC. Per l'HSM gestito, il ruolo di amministratore dell'HSM gestito viene utilizzato per assegnare ruoli RBAC locali.
- Ruolo Collaboratore o Proprietario nella risorsa Foundry per configurare le impostazioni di crittografia.
Prima di configurare una chiave gestita dal cliente (CMK), accertarsi di collocare le risorse in un'area supportata. Per altre informazioni sul supporto a livello di area per le funzionalità di Foundry, vedere Microsoft Disponibilità delle funzionalità Foundry tra aree cloud.
Configurazioni di rete dell'archivio chiavi
Quando usi reti private con la risorsa Foundry, l'Azure Key Vault fornito dal cliente o l'HSM gestito che ospita il CMK supporta le configurazioni seguenti:
- Endpoint di collegamento privato con l'opzione "Consenti servizi Microsoft attendibili" abilitata: l'archivio delle chiavi usa un endpoint privato per la connettività e consente inoltre l'accesso a servizi Microsoft attendibili. Questa è la configurazione consigliata per gli ambienti che richiedono la connettività privata.
- "Consenti servizi Microsoft attendibili" abilitato (senza un endpoint privato): l'archivio chiavi consente l'accesso dai servizi Microsoft attendibili attraverso l'endpoint pubblico. Abilitare questa impostazione per assicurarsi che la risorsa Foundry possa accedere all'archivio chiavi per le operazioni di crittografia.
Per configurare l'accesso ai servizi attendibili, vedere Configurare Azure Key Vault firewall e reti virtuali o Gestione della sicurezza di rete HSM.
Passaggi per configurare un CMK
Passaggio 1: Creare o importare una chiave nell'archivio chiavi
Per generare una chiave in Azure Key Vault:
Nel portale di Azure, vai al tuo Key Vault.
In Impostazioni selezionare Chiavi.
Selezionare + Genera/Importa.
Immettere un nome di chiave, scegliere il tipo di chiave (ad esempio RSA o HSM supportato) e configurare le dimensioni della chiave (minimo a 2048 bit) e i dettagli di scadenza.
Selezionare Crea per salvare la nuova chiave.
La nuova chiave viene visualizzata nell'elenco Chiavi .
Per generare una chiave in Azure Managed HSM, vedere Creare una chiave HSM.
Tenere presenti queste considerazioni:
- I progetti possono essere aggiornati da chiavi gestite da Microsoft a chiavi gestite dal cliente (CMK), ma non possono essere ripristinati.
- I CMK del progetto possono essere aggiornati solo alle chiavi nello stesso archivio delle chiavi.
- Gli addebiti correlati all'archiviazione per la crittografia delle chiavi gestite dal cliente continuano a essere applicati durante la conservazione dopo l'eliminazione temporanea.
Per altre informazioni, vedere Informazioni sulle chiavi.
Per importare una chiave in Key Vault:
Andare alla sezione Chiavi nell'insieme di credenziali delle chiavi.
Selezionare + Genera/Importa e quindi scegliere l'opzione Importa .
Caricare il materiale della chiave e specificare i dettagli necessari per la configurazione della chiave.
Seguire le istruzioni per completare il processo di importazione.
Per importare una chiave in un Managed HSM, vedere Importare chiavi protette da HSM in un Managed HSM.
Passaggio 2: Concedere le autorizzazioni per l'archivio delle chiavi alle identità gestite
Configurare le autorizzazioni appropriate per l'identità gestita assegnata dal sistema o assegnata dall'utente per accedere all'archivio chiavi:
Key Vault
Nel portale di Azure, vai al tuo Key Vault.
Selezionare Controllo di accesso (IAM).
Selezionare + Aggiungi assegnazione di ruolo.
Assegnare il ruolo di Utente della crittografia di Key Vault all'identità gestita assegnata dal sistema per la risorsa Foundry o all'identità gestita assegnata dall'utente.
L'identità gestita appare nell'elenco delle assegnazioni dei ruoli per l'insieme di credenziali delle chiavi.
Modulo di sicurezza hardware gestito (HSM)
L'HSM gestito utilizza un sistema locale di controllo degli accessi in base al ruolo separato da Azure RBAC. Assegnare ruoli usando az keyvault role assignment create o il piano dati dell'HSM gestito:
In qualità di amministratore del modulo di protezione hardware gestito, assegnare il ruolo utente di crittografia del modulo di protezione hardware gestito all'identità gestita assegnata dal sistema o assegnata dall'utente della risorsa Foundry. Definire l'ambito dell'assegnazione alla chiave o al contesto appropriato per lo scenario.
Verificare l'assegnazione con
az keyvault role assignment list.
Per altre informazioni, vedere Controllo di accesso HSM gestito.
Passaggio 3: Abilitare il CMK in Foundry
È possibile abilitare i cmk durante la creazione di una risorsa Foundry o aggiornando una risorsa esistente. Durante la creazione di risorse, la procedura guidata consente di usare un'identità gestita assegnata dall'utente o assegnata dal sistema. Consente inoltre di selezionare un Key Vault o un HSM Gestito dove è archiviata la chiave.
Se si aggiorna una risorsa Foundry esistente, seguire questa procedura per abilitare una chiave CMK (Customer Master Key):
Nel portale di Azure aprire la risorsa Foundry.
Passare a Gestione risorse>Crittografia.
Selezionare chiavi gestite dal cliente come tipo di crittografia.
Immettere l'URL dell'archivio chiavi (o l'URL dell'insieme di credenziali delle chiavi o l'URL dell'HSM gestito) e il nome della chiave.
Selezionare Salva.
Per verificare la configurazione, passare a Gestione Risorse>Crittografia e verificare che chiavi gestite dal cliente sia visualizzato come tipo di crittografia attivo con l'archivio chiavi e il nome della chiave visualizzati.
Accesso all'insieme di credenziali: controllo degli accessi in base al ruolo di Azure e criteri di accesso dell'insieme di credenziali
Azure Key Vault supporta due modelli per la gestione delle autorizzazioni di accesso:
RBAC di Azure (consigliato):
- Fornisce il controllo di accesso centralizzato usando i ruoli di Microsoft Entra.
- Semplifica la gestione delle autorizzazioni per le risorse in Azure.
- Richiede il ruolo Key Vault Crypto User.
Criteri di accesso all'insieme di credenziali:
- Consentire un controllo di accesso granulare specifico per le risorse di Key Vault.
- Sono adatti per le configurazioni in cui sono necessarie impostazioni di autorizzazione legacy o isolate.
Scegliere il modello allineato ai requisiti dell'organizzazione. Utilizzare il controllo degli accessi in base al ruolo di Azure per le nuove distribuzioni. Usare i criteri di accesso all'insieme di credenziali solo quando i requisiti dell'organizzazione esistenti li impongono.
Azure HSM gestito usa il proprio sistema RBAC locale, separato dal sistema RBAC di Azure. Per il Managed HSM, assegnare il ruolo di Managed HSM Crypto User all'identità gestita. Per altre informazioni, vedere Ruoli predefiniti RBAC locale del modulo HSM gestito.
Monitoraggio e rotazione delle chiavi
Per mantenere la sicurezza e la conformità ottimali, implementare le procedure seguenti:
- Abilita diagnostica: monitora l'attività di utilizzo e accesso delle chiavi abilitando il log diagnostico in Monitoraggio di Azure o Log Analytics per il Key Vault o il Managed HSM.
- Ruotare regolarmente le chiavi: creare periodicamente una nuova versione della chiave nell'archivio chiavi. Aggiornare la risorsa Foundry per fare riferimento alla versione della chiave più recente nelle impostazioni di crittografia.
- Comprendere l'impatto della revoca della chiave: se si revoca o si elimina un CMK, i dati crittografati con tale chiave diventano inaccessibili fino al ripristino della chiave. Non eliminare l'archivio chiavi o la versione della chiave senza prima verificare che i dati non siano più necessari.
Risoluzione dei problemi
| Problema | Risoluzione |
|---|---|
| 403 Accesso vietato durante l'abilitazione della chiave gestita dal cliente | Per il Key Vault, verificare che l'identità gestita abbia il ruolo Utente di crittografia del Key Vault (RBAC) o le autorizzazioni unwrapKey e wrapKey (criteri di accesso all'insieme di credenziali). Per l'HSM gestito, verificare che l'identità gestita abbia il ruolo Utente di crittografia dell'HSM gestito nell'ambito appropriato. |
| Archivio chiavi non trovato | Verificare che il key vault o il Managed HSM si trovi nella stessa regione Azure della risorsa Foundry. |
| Versione chiave non supportata | Usare una chiave RSA con una dimensione minima di 2048 bit. |
| Dati inaccessibili dopo la revoca delle chiavi | Ripristinare la versione della chiave nell'archivio delle chiavi. I dati rimangono inaccessibili fino a quando non viene ripristinata la chiave. Contattare il supporto di Azure se l'archivio delle chiavi è stato eliminato. |