Chiffrement des données au repos par le traducteur
Translator chiffre automatiquement vos données lorsqu’elles sont conservées dans le cloud, ce qui vous permet de satisfaire aux exigences de votre organisation en matière de sécurité et de conformité.
À propos du chiffrement Azure AI services
Les données sont chiffrées et déchiffrées à l'aide du chiffrement AES 256 bits certifié FIPS 140-2. Le chiffrement et le déchiffrement sont transparents, ce qui signifie que le chiffrement et l’accès sont gérés automatiquement. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement.
À propos de la gestion des clés de chiffrement
Par défaut, votre abonnement utilise des clés de chiffrement gérées par Microsoft. Si vous utilisez un niveau tarifaire qui prend en charge les clés gérées par le client, les paramètres de chiffrement de votre ressource sont disponibles dans la section Chiffrement du Portail Azure, comme illustré ci-dessous.
Pour les abonnements qui prennent uniquement en charge les clés de chiffrement gérées par Microsoft, la section Chiffrement n’est pas disponible.
Clés gérées par le client avec Azure Key Vault
Par défaut, votre abonnement utilise des clés de chiffrement gérées par Microsoft. Une option vous permet également de gérer votre abonnement avec vos propres clés grâce à des clés gérées par le client (CMK). Les CMK offrent plus de flexibilité pour créer, alterner, désactiver et révoquer des contrôles d’accès. Vous pouvez également effectuer un audit sur les clés de chiffrement utilisées pour protéger vos données. Si une CMK est configurée pour votre abonnement, un double chiffrement est fourni, ce qui offre une deuxième couche de protection, tout en vous permettant de contrôler la clé de chiffrement par le biais de votre coffre de clés Azure.
Afin d'activer les clés gérées par le client pour le Traducteur, procédez comme suit :
- Créez votre nouvelle ressource Translator régionale ou Azure AI Services régionale. Les clés gérées par le client ne fonctionnent pas avec une ressource globale.
- Activez l'identité managée sur le portail Azure et ajoutez les informations relatives à vos clés gérées par le client.
- Créez un nouvel espace de travail dans Custom Translator et associez ces informations d'abonnement.
Activer des clés gérées par le client
Vous devez utiliser Azure Key Vault pour stocker vos clés managées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. La ressource Azure AI services et le coffre de clés doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.
Une nouvelle ressource Azure AI services est toujours chiffrée à l’aide de clés managées par Microsoft. Il est impossible d'activer des clés gérées par le client au moment de la création de la ressource. Les clés gérées par le client doivent être stockées dans Azure Key Vault. Le coffre de clés doit être provisionné avec des stratégies d’accès qui accordent des autorisations de clé à l’identité managée associée à la ressource Azure AI Services. L'identité managée est disponible dès que la ressource est créée.
Pour en savoir plus sur l’utilisation des clés gérées par le client avec Azure Key Vault pour le chiffrement Azure AI services, consultez :
L’activation des clés managées par le client permet également d’activer une identité managée attribuée par le système, une fonctionnalité de Microsoft Entra ID. Une fois l’identité managée attribuée par le système activée, cette ressource est enregistrée auprès de Microsoft Entra ID. Une fois inscrite, elle a accès au coffre de clés sélectionné lors de la configuration des clés gérées par le client. Découvrez-en plus sur les identités managées.
Important
Si vous désactivez les identités managées affectées par le système, l'accès au coffre de clés est supprimé et toutes les données chiffrées avec les clés client deviennent inaccessibles. Toutes les fonctionnalités dépendant de ces données cessent de fonctionner. Tous les modèles que vous avez déployés sont également annulés. Toutes les données chargées sont supprimées de Custom Translator. Si les identités managées sont réactivées, le redéploiement du modèle n'est pas automatique.
Important
Les identités managées ne prennent actuellement pas en charge les scénarios entre répertoires. Lorsque vous configurez des clés managées par le client sur le portail Azure, une identité managée est automatiquement affectée. Si, par la suite, vous déplacez l'abonnement, le groupe de ressources ou la ressource d'un répertoire Microsoft Entra vers un autre, l'identité managée associée à la ressource n'est pas transférée vers le nouveau locataire. Par conséquent, les clés gérées par le client peuvent ne plus fonctionner. Pour plus d'informations, consultez Transfert d'un abonnement entre les répertoires Microsoft Entra dans les FAQ et problèmes connus avec les identités managées pour les ressources Azure.
Stocker les clés gérées par le client dans Azure Key Vault
Pour activer les clés gérées par le client, vous devez utiliser une instance d'Azure Key Vault afin de stocker vos clés. Vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés.
Seules les clés RSA de taille 2048 sont prises en charge avec le chiffrement Azure AI services. Pour plus d’informations sur les clés, consultez Clés Key Vault dans À propos des clés, des secrets et des certificats Azure Key Vault.
Notes
Si l'ensemble du coffre de clés est supprimé, vos données n'apparaissent plus et aucun de vos modèles n'est déployé. Toutes les données chargées sont supprimées de Custom Translator.
Révoquer l’accès aux clés gérées par le client
Pour révoquer l’accès aux clés gérées par le client, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Azure Key Vault PowerShell ou Interface de ligne de commande Azure Key Vault. La révocation de l'accès bloque l'accès à toutes les données de la ressource Azure AI Services et vos modèles ne sont pas déployés, car Azure AI Services n'a pas accès à la clé de chiffrement. Toutes les données chargées sont également supprimées de Custom Translator.