Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cifrado de clave administrada por el cliente (CMK) en Microsoft Foundry le proporciona control sobre el cifrado de los datos. Use claves administradas por el cliente para añadir una capa de protección adicional y cumplir los requisitos de cumplimiento con Azure Key Vault o la integración del HSM administrado en Azure.
Microsoft Foundry proporciona funcionalidades de cifrado sólidas, incluida la capacidad de usar CMK almacenados en Key Vault o HSM administrados para ayudar a proteger los datos confidenciales. El cifrado de CMK se aplica a los datos en reposo almacenados en las cuentas de almacenamiento asociadas del recurso Foundry, incluidos los artefactos del proyecto, los archivos cargados y los datos de evaluación.
En este artículo se explica cómo configurar el cifrado cmK mediante Key Vault o HSM administrado para el recurso foundry.
Nota
Debido a las restricciones de capacidad en la infraestructura de Búsqueda de Azure AI subyacente, el cifrado de clave administrada por el cliente (CMK) solo está disponible actualmente en regiones seleccionadas. Para obtener la lista de regiones admitidas, consulte Búsqueda de Azure AI disponibilidad regional.
Ventajas de CMKs
- La capacidad de usar sus propias claves para cifrar los datos en reposo.
- Integración con directivas de cumplimiento y seguridad de la organización.
- La capacidad de rotar o revocar claves para un control mejorado sobre el acceso a los datos cifrados.
Requisitos previos
Para configurar una CMK para Foundry, necesita:
Una suscripción de Azure activa para crear y administrar recursos Azure.
Un almacén de claves existente o HSM administrado para almacenar las claves. Estos requisitos también se aplican:
- Implemente el almacén de claves y el recurso Foundry en la misma región Azure.
- Habilite la eliminación temporal y la protección frene a purgas en el almacén de claves para proteger las claves administradas por el cliente de la eliminación accidental o maliciosa (obligatorio en Azure).
Para crear un almacén de claves, consulte Quickstart: Creación de un almacén de claves mediante el portal de Azure. Para crear un HSM administrado, consulte Quickstart: Aprovisionamiento y activación de un HSM administrado mediante el portal de Azure.
Una configuración de identidad administrada:
- Se ha habilitado una identidad administrada asignada por el sistema para el recurso Foundry.
- Una identidad administrada asignada por el usuario. Consulte Creación de una identidad administrada asignada por el usuario.
Permisos de almacenamiento de claves
- Para Key Vault con Azure RBAC, asigne el rol Key Vault Usuario criptográfico a la identidad administrada.
- En Key Vault con directivas de acceso a almacén, conceda los permisos específicos de la clave a la identidad administrada, como
unwrapKeyywrapKey. - En el HSM administrado, asigne el rol Usuario criptográfico de HSM administrado a la identidad administrada con el nivel de acceso correspondiente. Para obtener más información, consulte Roles integrados de RBAC locales de HSM administrado.
Permisos de Azure suficientes:
- Rol de propietario o administrador de acceso de usuario en el almacén de claves para asignar roles de RBAC. En HSM administrado, el rol Administrador de HSM administrado para asignar roles de RBAC locales.
- Rol Colaborador o Propietario en el recurso Foundry para configurar las opciones de cifrado.
Antes de configurar una CMK, asegúrese de implementar sus recursos en una región compatible. Para obtener más información sobre la compatibilidad regional con las características de Foundry, consulte Microsoft Disponibilidad de características de Foundry en regiones en la nube.
Configuraciones de red del almacén de claves
Cuando se usan redes privadas con el recurso Foundry, el Azure Key Vault proporcionado por el cliente o HSM administrado que hospeda cmK admite las siguientes configuraciones:
- Punto de conexión de vínculo privado con "Permitir servicios de Microsoft de confianza" habilitado: el almacén de claves usa un punto de conexión privado para facilitar la conectividad y además permite el acceso a través de servicios de Microsoft de confianza. Esta es la configuración recomendada para entornos que requieren conectividad privada.
- "Permitir servicios de Microsoft confiables" habilitado (sin un punto de conexión privado): El almacén de claves permite el acceso desde servicios de Microsoft confiables a través del extremo público. Habilite esta configuración para asegurarse de que el recurso Foundry puede acceder al almacén de claves para las operaciones de cifrado.
Para configurar el acceso a servicios de confianza, consulte Configure Azure Key Vault firewalls y redes virtuales o Managed HSM network security.
Pasos para configurar una CMK
Paso 1: Crear o importar una clave en el almacén de claves
Para generar una clave en Azure Key Vault:
En Azure Portal, vaya al almacén de claves.
En Configuración, seleccione Claves.
Seleccione + Generar/Importar.
Escriba un nombre de clave, elija el tipo de clave (como RSA o HSM respaldado) y configure el tamaño de clave (mínimo de 2048 bits) y los detalles de expiración.
Seleccione Crear para guardar la nueva clave.
La nueva clave aparece en la lista Claves .
Para generar una clave en Azure HSM administrado, consulte Crear una clave HSM.
Tenga en cuenta estas consideraciones:
- Los proyectos pueden pasar de claves administradas por Microsoft a claves administradas por el cliente (CMK), pero esto no se puede revertir.
- Las claves administradas por el cliente (CMK) de proyecto solo se pueden actualizar con claves del mismo almacén de claves.
- Los cargos relacionados con el almacenamiento para el cifrado de CMK continúan durante la retención de eliminación suave.
Para obtener más información, consulte Acerca de las claves.
Para importar una clave en Key Vault:
En el almacén de claves, vaya a la sección Claves.
Seleccione + Generar/Importar y, a continuación, elija la opción Importar .
Cargue el material de clave y proporcione los detalles necesarios para la configuración de claves.
Siga las indicaciones para completar el proceso de importación.
Para importar una clave en HSM administrado, consulte Importación de claves protegidas por HSM en HSM administrado.
Paso 2: Otorgar permisos de almacén de claves a las identidades administradas
Configure los permisos adecuados para la identidad administrada asignada por el sistema o asignada por el usuario para acceder al almacén de claves:
Key Vault
En Azure Portal, vaya al almacén de claves.
Seleccione Access Control (IAM).
Seleccione + Agregar asignación de roles.
Asigne el rol de usuario criptográfico Key Vault a la identidad administrada asignada por el sistema del recurso Foundry o a la identidad administrada asignada por el usuario.
La identidad administrada aparece en la lista de asignaciones de roles del almacén de claves.
HSM administrado
HSM administrado usa un sistema RBAC local independiente de Azure RBAC. Asigne los roles mediante az keyvault role assignment create o el plano de datos de HSM administrado:
Como administrador de HSM administrado, asigne el rol Usuario criptográfico de HSM administrado a la identidad administrada asignada por el sistema o por el usuario del recurso de Foundry. Delimite la asignación de la clave o el nivel de acceso correspondiente en su caso.
Compruebe la asignación con
az keyvault role assignment list.
Para más información, consulte Control de acceso de HSM administrado.
Paso 3: Habilitar la CMK en Foundry
Puede habilitar CMK durante la creación de un recurso Foundry o actualizando un recurso existente. Durante la creación de recursos, el asistente le guía para usar una identidad administrada, ya sea asignada por el usuario o por el sistema. También le guía para seleccionar un almacén de claves o un HSM administrado donde se almacena la clave.
Si va a actualizar un recurso foundry existente, siga estos pasos para habilitar una CMK:
En el portal de Azure, abra el recurso Foundry.
Vaya a Administración de recursos>Cifrado.
Seleccione Customer-Managed Claves como tipo de cifrado.
Introduzca la URL del almacén de claves (URL del almacén de claves o URL de HSM administrada) y el nombre de la clave.
Seleccione Guardar.
Para comprobar la configuración, vaya a Administración de Recursos>Cifrado y confirme que Claves gestionadas por el cliente se muestran como el tipo de cifrado activo con su almacén de claves y nombre de clave mostrados.
Acceso al almacén: RBAC de Azure frente a directivas de acceso al almacén
Azure Key Vault admite dos modelos para administrar permisos de acceso:
Azure RBAC (recomendado):
- Proporciona control de acceso centralizado mediante roles de Microsoft Entra.
- Simplifica la administración de permisos para los recursos en Azure.
- Requiere el rol de usuario criptográfico Key Vault.
Directivas de acceso al almacén:
- Permitir el control de acceso pormenorizado específico de los recursos de Key Vault.
- Son adecuados para las configuraciones en las que se necesitan valores de permisos heredados o aislados.
Elija el modelo que se alinee con los requisitos de la organización. Para las nuevas implementaciones, use Azure RBAC. Usa políticas de acceso de bóveda solo cuando los requisitos organizativos actuales los exijan.
Azure HSM administrado usa su propio sistema RBAC local independiente de Azure RBAC. En el HSM administrado, asigne el rol Usuario criptográfico de HSM administrado a la identidad administrada. Para obtener más información, consulte Roles integrados de RBAC locales de HSM administrado.
Supervisión y rotación de claves
Para mantener la seguridad y el cumplimiento óptimos, implemente los procedimientos siguientes:
- Enable diagnostics: Supervise el uso de claves y la actividad de acceso habilitando el registro de diagnóstico en Azure Monitor o Log Analytics para el almacén de claves o HSM administrado.
- Rotar las claves periódicamente: cree periódicamente una nueva versión de la clave en el almacén de claves. Actualice el recurso Foundry para hacer referencia a la versión de clave más reciente en su configuración de cifrado.
- Descripción del impacto en la revocación de claves: si revoca o elimina una CMK, los datos cifrados con esa clave se vuelven inaccesibles hasta que se restaure la clave. No purgue el almacén de claves ni la versión de la clave sin comprobar primero que los datos ya no son necesarios.
Solución de problemas
| Problema | Resolución |
|---|---|
| 403 Forbidden al habilitar CMK | En Key Vault, compruebe que la identidad administrada tiene el rol Usuario criptográfico de Key Vault (RBAC) o los permisos unwrapKey y wrapKey (directivas de acceso de almacén). En el HSM administrado, verifique que la identidad administrada tiene el rol Usuario criptográfico de HSM administrado con el nivel de acceso adecuado. |
| No se encontró el almacén de claves | Confirme que el almacén de claves o el HSM administrado se encuentran en la misma región de Azure que el recurso de Foundry. |
| Versión de llave no admitida | Use una clave RSA con un tamaño mínimo de 2048 bits. |
| Datos inaccesibles después de la revocación de claves | Restaure la versión de la clave en el almacén de claves. Los datos permanecen inaccesibles hasta que se restaura la clave. Póngase en contacto con Soporte técnico de Azure si se purgó el almacén de claves. |