다음을 통해 공유

Azure AI Foundry를 사용한 암호화를 위한 고객 관리형 키

Azure AI Foundry 포털의 CMK(고객 관리형 키)는 데이터 암호화에 대한 향상된 제어를 제공합니다. CMK를 사용하면 사용자 고유의 암호화 키를 관리하여 보호 계층을 추가하고 규정 준수 요구 사항을 보다 효과적으로 충족할 수 있습니다.

Azure AI Foundry의 암호화 정보

Azure AI Foundry는 Microsoft Azure 클라우드의 서비스입니다. 기본적으로 서비스는 Microsoft 관리형 암호화 키를 사용하여 전송 중 및 미사용 데이터를 암호화합니다.

허브 및 허브 기반 프로젝트 리소스는 Azure Machine Learning 작업 영역의 구현이며 전송 중 및 미사용 데이터를 암호화합니다. 더 자세한 내용은 Azure Machine Learning을 사용하여 데이터 암호화를 참조하세요.

데이터는 FIPS 140-2 규격 256비트 AES 암호화를 사용하여 암호화 및 암호 해독됩니다. 암호화 및 암호 해독은 투명하므로 암호화 및 액세스가 자동으로 관리됩니다. 데이터는 기본적으로 안전하며 암호화를 활용하기 위해 코드 또는 애플리케이션을 수정할 필요가 없습니다.

고객 관리형 키를 사용할 때 암호화된 데이터 스토리지

Azure Portal 또는 템플릿 옵션을 통해 리소스를 만드는 동안 고객 관리형 키 암호화를 사용하도록 설정할 수 있습니다. 암호화된 데이터는 암호화 키를 사용하여 Microsoft 관리 리소스에 서비스 쪽에 저장됩니다.

비고

고객 관리형 키 암호화 데이터를 사용할 때 특정 서비스에 대한 전용 호스팅 모델로 인해 추가 요금이 적용될 수 있습니다.

비고

서버 쪽 암호화를 사용하는 경우 일시 삭제 보존 기간 동안 Azure 요금이 계속 발생합니다.

AI 허브에서 고객 관리형 키를 사용하는 경우 암호화된 데이터의 서비스 쪽 스토리지

고객 관리형 키를 사용하는 경우 두 가지 아키텍처 옵션을 사용할 수 있습니다.

  • 암호화된 데이터는 Microsoft 구독에 저장됩니다(권장).

    데이터는 구독의 관리되는 리소스 대신 Microsoft가 관리하는 리소스 측에 저장됩니다. 메타데이터는 문서 수준 CMK 암호화를 사용하여 다중 테넌트 리소스에 저장됩니다. Azure AI Search 인스턴스는 고객별 및 각 허브에 대해 Microsoft 쪽에서 호스트됩니다.

  • 암호화된 데이터는 구독에 저장됩니다.

    데이터는 Azure Storage 계정, Azure Cosmos DB 리소스 및 Azure AI Search를 포함하는 Microsoft 관리 리소스 그룹을 사용하여 구독에 저장됩니다. 이러한 리소스의 구성은 수정할 수 없습니다. 해당 구성에 대한 변경 내용은 지원되지 않습니다.

    동일한 허브를 사용하는 모든 프로젝트는 이름으로 azureml-rg-hubworkspacename_GUID식별되는 관리되는 리소스 그룹의 리소스에 데이터를 저장합니다. 프로젝트는 이러한 리소스와 상호 작용할 때 Microsoft Entra ID 인증을 사용합니다. 허브에 프라이빗 링크 엔드포인트가 있는 경우 관리되는 리소스에 대한 네트워크 액세스가 제한됩니다. 허브가 삭제되면 관리되는 리소스 그룹이 삭제됩니다.

    다음 데이터는 관리되는 리소스에 저장됩니다.

    서비스 사용 대상 예시
    Azure Cosmos DB (애저 코스모스 DB) Azure AI 프로젝트 및 도구에 대한 메타데이터 저장 인덱스 이름, 태그; 흐름 만들기 타임스탬프; 배포 태그; 평가 메트릭
    Azure AI 검색 Azure AI Foundry 콘텐츠를 쿼리하는 데 사용되는 인덱스를 저장합니다. 모델 배포 이름을 기반으로 하는 인덱스
    Azure 스토리지 계정 사용자 지정 작업을 오케스트레이션하는 방법에 대한 지침을 저장합니다. Azure AI Foundry 포털에서 만든 흐름의 JSON 표현

Azure Key Vault에서 고객 관리형 키 사용

고객 관리형 키를 저장하려면 Azure Key Vault를 사용해야 합니다. 사용자 고유의 키를 만들어 키 자격 증명 모음에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다. Azure AI Foundry 리소스와 키 볼트는 같은 지역과 같은 Microsoft Entra 테넌트에 있어야 하지만, 서로 다른 구독에 있을 수 있습니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?을 참조하세요.

  • 키 자격 증명 모음에서 일시 삭제제거 안 함 속성을 둘 다 사용하도록 설정해야 합니다.
  • Key Vault 방화벽을 사용하는 경우 신뢰할 수 있는 Microsoft 서비스가 키 자격 증명 모음에 액세스하도록 허용해야 합니다.
  • Foundry 프로젝트의 시스템 할당된 관리 ID에 대해 키 자격 증명 모음에 다음 권한을 부여해야 합니다: 키 가져오기, 키 래핑, 키 래핑 해제.

고객 관리형 키를 저장하려면 Azure Key Vault를 사용해야 합니다. 사용자 고유의 키를 만들어 키 자격 증명 모음에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다. Azure AI 서비스 리소스와 키 자격 증명 보관소는 같은 지역과 같은 Microsoft Entra 테넌트에 있어야 하지만 서로 다른 구독에 있을 수 있습니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?을 참조하세요.

고객 관리형 키를 사용하도록 설정하려면 키가 포함된 키 자격 증명 모음이 다음 요구 사항을 충족해야 합니다.

  • 키 자격 증명 모음에서 일시 삭제제거 안 함 속성을 둘 다 사용하도록 설정해야 합니다.
  • Key Vault 방화벽을 사용하는 경우 신뢰할 수 있는 Microsoft 서비스가 키 자격 증명 모음에 액세스하도록 허용해야 합니다.
  • 키 자격 증명 모음에 대해 허브 및 Azure AI Services 리소스의 시스템 할당 관리 ID에 다음 권한을 부여해야 합니다: 키 가져오기, 키 래핑, 키 래핑 해제.

Azure AI Foundry에는 다음과 같은 제한 사항이 있습니다.

  • 레거시 액세스 정책이 있는 Azure Key Vault만 지원됩니다.
  • Azure AI 서비스 암호화에는 크기가 2048인 RSA 및 RSA-HSM 키만 지원됩니다. 키에 대한 자세한 내용은 Azure Key Vault 키, 비밀 및 인증서 정보Key Vault 키를 참조하세요.
  • Customer-Managed 키에서 Microsoft 관리형 키로의 업데이트는 현재 프로젝트 하위 리소스에 대해 지원되지 않습니다. 업데이트된 경우 프로젝트에서 암호화 키를 계속 참조합니다.

Azure AI Foundry 리소스의 관리 ID를 활성화하십시오.

관리 ID는 고객 관리형 키를 사용하기 위한 필수 구성 요소로 사용하도록 설정해야 합니다.

  1. Azure Portal에서 Azure AI Foundry 리소스로 이동합니다.
  2. 왼쪽의 리소스 관리에서 ID를 선택합니다.
  3. 시스템이 할당한 관리 ID 상태를 켜짐으로 전환합니다.
  4. 변경 내용을 저장하고 시스템이 할당한 관리 ID를 사용하도록 설정할지 확인합니다.

고객 관리형 키 사용

고객 관리형 키 암호화는 각 Azure 리소스에 대해 비슷한 방식으로 Azure Portal을 통해 구성됩니다.

중요합니다

암호화에 사용되는 Azure Key Vault는 AI Foundry 프로젝트와 동일한 리소스 그룹에 있어야 합니다 . 다른 리소스 그룹의 Key Vault는 현재 배포 마법사 또는 프로젝트 구성 워크플로에서 지원되지 않습니다.

  1. Azure 포털에서 새 Azure AI Foundry 리소스를 만듭니다.

  2. 암호화 탭에서 고객 관리형 키를 선택하고 자격 증명 모음 및 키를 선택한 다음 사용할 키 자격 증명 모음과 키를 선택합니다.

    고객 관리형 키에 대한 옵션이 선택된 AI Foundry 프로젝트의 암호화 탭 스크린샷

  3. 정상적으로 리소스를 계속 만듭니다.

제한점

  • 암호화를 위한 고객 관리형 키는 동일한 Azure Key Vault 인스턴스의 키로만 업데이트할 수 있습니다.
  • 배포 후 Foundry 프로젝트는 Microsoft 관리형 키에서 고객 관리형 키로 전환하거나 그 반대로 전환할 수 없습니다.
  • AI Foundry 리소스에 대한 Azure 요금은 일시 삭제 보존 기간 동안 계속 발생합니다. 일시 삭제 보존 기간 동안 프로젝트에 대한 요금이 계속 발생하지 않습니다.

Azure AI Foundry는 Azure Machine Learning 작업 영역, Azure AI Services의 구현으로 허브를 기반으로 하며 Azure의 다른 리소스와 연결할 수 있습니다. 각 리소스에 대해 암호화를 구체적으로 설정해야 합니다.

고객 관리형 키 암호화는 각 Azure 리소스에 대해 비슷한 방식으로 Azure Portal을 통해 구성됩니다.

  1. Azure Portal에서 새 Azure 리소스를 만듭니다.

  2. 암호화 탭에서 암호화 키를 선택합니다.

    서비스 쪽 암호화 옵션이 선택된 암호화 탭의 스크린샷

또는 자동화를 위해 코드로서의 인프라 옵션을 사용합니다. Azure AI Foundry에 대한 예제 Bicep 템플릿은 Azure 빠른 시작 리포지토리에서 사용할 수 있습니다.

  1. 허브에 대한 CMK 암호화입니다.
  2. 허브에 대한 서비스 쪽 CMK 암호화 미리 보기입니다.

제한점

  • 암호화를 위한 고객 관리형 키는 동일한 Azure Key Vault 인스턴스의 키로만 업데이트할 수 있습니다.
  • 배포 후 허브는 Microsoft 관리형 키에서 고객 관리형 키로 전환하거나 그 반대로 전환할 수 없습니다.
  • Azure AI Foundry Customer-Managed 키 요청 양식 은 Azure Speech 및 Content Moderator 기능과 함께 고객 관리형 키를 사용해야 합니다.
  • Speech 및 Content Moderator에는 Azure AI Foundry Customer-Managed 키 요청 양식이 여전히 필요합니다.
  • AI Foundry 리소스가 임시 삭제 상태(#preview-service-side-storage-of-encrypted-data-when-using-customer-managed-keys)에 있는 경우, 모든 추가 Azure 요금은 임시 삭제 보존 기간 동안 계속 발생합니다.

관련 콘텐츠