Share via

Az inaktív adatok face service-titkosítása

  • Cikk

A Face szolgáltatás automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. Ez a titkosítás védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek.

Tudnivalók az Azure AI-szolgáltatások titkosításáról

Az adatok titkosítása és visszafejtése FIPS 140-2-kompatibilis 256 bites AES-titkosítássaltörténik. A titkosítás és a visszafejtés transzparens, vagyis a titkosítás és a hozzáférés kezelése az Ön számára. Az adatok alapértelmezés szerint biztonságosak. A titkosítás előnyeinek kihasználásához nem kell módosítania a kódot vagy az alkalmazásokat.

Tudnivalók a titkosítási kulcsok kezeléséről

Alapértelmezés szerint az előfizetés a Microsoft által felügyelt titkosítási kulcsokat használja. Az előfizetést saját kulcsokkal is kezelheti, amelyeket ügyfél által felügyelt kulcsoknak nevezünk. Az ügyfél által felügyelt kulcsok használata nagyobb rugalmasságot biztosít a hozzáférés-vezérlők létrehozása, elforgatása, letiltása és visszavonása terén. Az adatok védelméhez használt titkosítási kulcsokat is naplózhatja. Ha az előfizetéshez ügyfél által felügyelt kulcsok vannak konfigurálva, a rendszer kettős titkosítást biztosít. Ezzel a második védelmi réteggel az Azure Key Vaulton keresztül vezérelheti a titkosítási kulcsot.

Felhasználó által kezelt kulcsok az Azure Key Vaulttal

Ha ügyfél által felügyelt kulcsokat használ, az Azure Key Vault használatával kell tárolnia őket. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy a Key Vault API-kkal kulcsokat hozhat létre. Az Azure AI-szolgáltatások erőforrásának és a kulcstartónak ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lennie, de különböző előfizetésekben lehetnek. További információ a Key Vaultról: Mi az Az Azure Key Vault?.

Amikor új Azure AI-szolgáltatási erőforrást hoz létre, az mindig a Microsoft által felügyelt kulcsokkal lesz titkosítva. Az erőforrás létrehozásakor nem lehet engedélyezni az ügyfél által kezelt kulcsokat. Az ügyfél által felügyelt kulcsok a Key Vaultban vannak tárolva. A kulcstartót olyan hozzáférési szabályzatokkal kell kiépíteni, amelyek kulcsengedélyeket biztosítanak az Azure AI-szolgáltatások erőforrásához társított felügyelt identitáshoz. A felügyelt identitás csak az erőforrás létrehozása után érhető el az ügyfél által felügyelt kulcsokhoz szükséges tarifacsomag használatával.

Az ügyfél által felügyelt kulcsok engedélyezése lehetővé teszi a rendszer által hozzárendelt felügyelt identitást is, amely a Microsoft Entra ID egyik funkciója. A rendszer által hozzárendelt felügyelt identitás engedélyezése után a rendszer regisztrálja ezt az erőforrást a Microsoft Entra-azonosítóban. A regisztráció után a felügyelt identitás hozzáférést kap az ügyfél által felügyelt kulcsbeállítás során kiválasztott kulcstartóhoz.

Fontos

Ha letiltja a rendszer által hozzárendelt felügyelt identitásokat, a rendszer eltávolítja a kulcstartóhoz való hozzáférést, és az ügyfélkulcsokkal titkosított adatok már nem érhetők el. Az adatoktól függő funkciók nem működnek.

Fontos

A felügyelt identitások jelenleg nem támogatják a címtárak közötti forgatókönyveket. Ha ügyfél által felügyelt kulcsokat konfigurál az Azure Portalon, a rendszer automatikusan hozzárendel egy felügyelt identitást a színfalak mögött. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy az erőforrást egy Microsoft Entra-címtárból egy másikba, az erőforráshoz társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átadása a Microsoft Entra-címtárakközött gyakori kérdések és az Azure-erőforrások felügyelt identitásaival kapcsolatos ismert problémák.

A Key Vault konfigurálása

Ha ügyfél által felügyelt kulcsokat használ, két tulajdonságot kell beállítania a kulcstartóban, a Helyreállítható törlés és a Törlés tiltása lehetőséget. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve, de az Azure Portal, a PowerShell vagy az Azure CLI használatával engedélyezheti őket egy új vagy meglévő kulcstartón.

Fontos

Ha a helyreállítható törlési és törlési tulajdonságok nincsenek engedélyezve, és törli a kulcsot, az Azure AI-szolgáltatások erőforrásában nem tudja helyreállítani az adatokat.

Ha tudni szeretné, hogyan engedélyezheti ezeket a tulajdonságokat egy meglévő kulcstartón, tekintse meg az Azure Key Vault helyreállítható törlési és törlési védelemmel rendelkező helyreállítási kezelését.

Ügyfél által felügyelt kulcsok engedélyezése az erőforráshoz

Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását.

  2. A bal oldalon válassza a Titkosítás lehetőséget.

  3. A Titkosítás típusa területen válassza az Ügyfél által kezelt kulcsok lehetőséget, ahogyan az alábbi képernyőképen látható.

    Screenshot of the Encryption settings page for an Azure AI services resource. Under Encryption type, the Customer Managed Keys option is selected.

Kulcs megadása

Az ügyfél által felügyelt kulcsok engedélyezése után megadhatja az Azure AI-szolgáltatások erőforrásához társítandó kulcsot.

Kulcs megadása URI-ként

A kulcs URI-ként való megadásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon nyissa meg a kulcstartót.

  2. A Gépház alatt válassza a Kulcsok lehetőséget.

  3. Válassza ki a kívánt kulcsot, majd válassza ki a kulcsot a verzió megtekintéséhez. Válassza ki a kulcsverziót az adott verzió beállításainak megtekintéséhez.

  4. Másolja ki a kulcsazonosító értékét, amely biztosítja az URI-t.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Lépjen vissza az Azure AI-szolgáltatások erőforrásához, majd válassza a Titkosítás lehetőséget.

  6. A Titkosítási kulcs területen válassza az Enter key URI(Kulcs URI) lehetőséget.

  7. Illessze be a Kulcs URI mezőbe másolt URI-t .

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. Az Előfizetés területen válassza ki a kulcstartót tartalmazó előfizetést.

  9. Mentse a módosításokat.

Kulcs megadása kulcstartóból

Kulcs kulcstárolóból való megadásához először győződjön meg arról, hogy rendelkezik egy kulcsot tartalmazó kulcstartóval. Ezután a következő lépéseket kell követni:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.

  2. A Titkosítási kulcs területen válassza a Kiválasztás lehetőséget a Key Vaultból.

  3. Válassza ki a használni kívánt kulcsot tartalmazó kulcstartót.

  4. Válassza ki a használni kívánt kulcsot.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Mentse a módosításokat.

A kulcsverzió frissítése

A kulcs új verziójának létrehozásakor frissítse az Azure AI-szolgáltatások erőforrását az új verzió használatára. Tegye a következők egyikét:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Adja meg az új kulcsverzió URI-jának nevét. Másik lehetőségként kiválaszthatja a kulcstartót, majd ismét kijelölheti a kulcsot a verzió frissítéséhez.
  3. Mentse a módosításokat.

Másik kulcs használata

A titkosításhoz használt kulcs módosításához kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Adja meg az új kulcs URI-jának nevét. Másik lehetőségként kiválaszthatja a kulcstartót, majd kiválaszthat egy új kulcsot.
  3. Mentse a módosításokat.

Ügyfél által felügyelt kulcsok elforgatása

Az ügyfél által felügyelt kulcsokat a megfelelőségi szabályzatoknak megfelelően elforgathatja a Key Vaultban. A kulcs elforgatásakor frissítenie kell az Azure AI-szolgáltatások erőforrását az új kulcs URI-jának használatához. Ha tudni szeretné, hogyan frissítheti az erőforrást a kulcs új verziójának használatára az Azure Portalon, olvassa el a kulcsverzió frissítése című témakört.

A kulcs elforgatása nem váltja ki az erőforrásban lévő adatok újratitkosítását. Nincs szükség további műveletre a felhasználótól.

Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonása

Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához használja a PowerShellt vagy az Azure CLI-t. További információ: Azure Key Vault PowerShell vagy Azure Key Vault CLI. A hozzáférés visszavonása hatékonyan blokkolja az Azure AI-szolgáltatások erőforrásában lévő összes adathoz való hozzáférést, mivel az Azure AI-szolgáltatások nem férnek hozzá a titkosítási kulcshoz.

Ügyfél által felügyelt kulcsok letiltása

Ha letiltja az ügyfél által felügyelt kulcsokat, az Azure AI-szolgáltatások erőforrása ezután Microsoft által felügyelt kulcsokkal lesz titkosítva. Az ügyfél által felügyelt kulcsok letiltásához kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure AI-szolgáltatások erőforrását, majd válassza a Titkosítás lehetőséget.
  2. Törölje a saját kulcs használata melletti jelölőnégyzet jelölését.

Következő lépések