Übersetzerverschlüsselung für ruhende Daten
Der Übersetzer verschlüsselt automatisch Ihre hochgeladenen Daten, wenn sie persistent in der Cloud gespeichert werden, und unterstützt Sie so bei der Einhaltung der Sicherheits- und Complianceziele Ihrer Organisation.
Informationen zur Azure KI Services-Verschlüsselung
Daten werden mittels FIPS 140-2-konformer 256-Bit-AES-Verschlüsselung ver- und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.
Informationen zur Verwaltung von Verschlüsselungsschlüsseln
Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Wenn Sie einen Tarif verwenden, der kundenseitig verwaltete Schlüssel unterstützt, können Sie die Verschlüsselungseinstellungen für Ihre Ressource im Abschnitt Verschlüsselung des Azure-Portals einsehen, wie in der folgenden Abbildung dargestellt.
Für Abonnements, die nur von Microsoft verwaltete Verschlüsselungsschlüssel unterstützen, ist der Abschnitt Verschlüsselung nicht verfügbar.
Von Kunden verwaltete Schlüssel mit Azure Key Vault
Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Optional können Sie Ihr Abonnement auch mit eigenen Schlüsseln verwalten, die kundenseitig verwaltete Schlüssel genannt werden. Kundenseitig verwaltete Schlüssel (CMK) bieten größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. Wenn für Ihr Abonnement CMK konfiguriert ist, wird darüber hinaus die doppelte Verschlüsselung bereitgestellt, mit der eine zweite Schutzebene zur Verfügung steht, während Sie den Verschlüsselungsschlüssel über Ihren Azure Key Vault kontrollieren können.
Führen Sie die folgenden Schritte aus, um kundenseitig verwaltete Schlüssel für Übersetzer zu aktivieren:
- Erstellen Sie Ihre neue regionale Textübersetzungs- oder Azure KI Services-Ressource. Kundenseitig verwaltete Schlüssel funktionieren nicht mit einer globalen Ressource.
- Aktivieren Sie die verwaltete Identität im Azure-Portal, und fügen Sie Ihre Informationen zum vom Kunden verwalteten Schlüssel hinzu.
- Erstellen Sie einen neuen Arbeitsbereich im benutzerdefinierten Translator, und ordnen Sie diese Abonnementinformationen zu.
Aktivieren von vom Kunden verwalteten Schlüsseln
Sie müssen Azure Key Vault zum Speichern Ihrer vom Kunden verwalteten Schlüssel verwenden. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Die Azure AI Services-Ressource und der Schlüsseltresor müssen sich in der gleichen Region und im gleichen Microsoft Entra-Mandant befinden, können aber auch in verschiedenen Abonnements sein. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).
Eine neue Azure KI Services-Ressource wird immer mit von Microsoft verwalteten Schlüsseln verschlüsselt. Es ist nicht möglich, zum Zeitpunkt der Ressourcenerstellung kundenseitig verwaltete Schlüssel zu aktivieren. Kundenseitig verwaltete Schlüssel werden in Azure Key Vault gespeichert. Für den Schlüsseltresor müssen Zugriffsrichtlinien bereitgestellt werden. Mit diesen werden Schlüsselberechtigungen für die verwaltete Identität erteilt, die der Azure KI Services-Ressource zugeordnet ist. Die verwaltete Identität ist verfügbar, sobald die Ressource erstellt wurde.
Informationen zur Verwendung kundenseitig verwalteter Schlüssel mit Azure Key Vault für die Azure KI Services-Verschlüsselung finden Sie hier:
Durch das Aktivieren von kundenseitig verwalteten Schlüsseln wird auch eine systemseitig zugewiesene verwaltete Identität aktiviert. Dies ist eine Funktion von Microsoft Entra ID. Sobald die systemseitig zugewiesene verwaltete Identität aktiviert ist, wird diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde. Sie können sich weiter über verwaltete Identitäten informieren.
Wichtig
Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren nicht mehr. Außerdem wird die Bereitstellung aller Modelle aufgehoben, die Sie bereitgestellt haben. Alle hochgeladenen Daten werden aus dem benutzerdefinierten Translator gelöscht. Wenn die verwalteten Identitäten erneut aktiviert werden, stellen wir das Modell nicht automatisch erneut für Sie bereit.
Wichtig
Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie vom Kunden verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die der Ressource zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.
Speichern von kundenseitig verwalteten Schlüsseln in Azure Key Vault
Wenn Sie kundenseitig verwaltete Schlüssel aktivieren möchten, müssen Sie Ihre Schlüssel in einer Azure Key Vault-Instanz speichern. Sie müssen die Eigenschaften Vorläufiges Löschen und Do Not Purge (Nicht bereinigen) im Schlüsseltresor aktivieren.
Für die Azure KI Services-Verschlüsselung werden nur RSA-Schlüssel der Größe 2048 unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel in Informationen zu Schlüsseln, Geheimnissen und Zertifikaten in Azure Key Vault.
Hinweis
Wenn der gesamte Schlüsseltresor gelöscht wird, werden Ihre Daten nicht mehr angezeigt, und die Bereitstellung aller ihrer Modelle wird aufgehoben. Alle hochgeladenen Daten werden aus dem benutzerdefinierten Translator gelöscht.
Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel
Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Azure KI Services-Ressource blockiert, und die Bereitstellung Ihrer Modelle wird aufgehoben, da Azure KI Services keinen Zugriff mehr auf den Verschlüsselungsschlüssel hat. Alle hochgeladenen Daten werden auch aus dem benutzerdefinierten Translator gelöscht.