Enkripsi data tidak aktif penerjemah
Penerjemah secara otomatis mengenkripsi data yang Anda unggah saat disimpan ke cloud yang membantu memenuhi tujuan keamanan dan kepatuhan organisasi Anda.
Tentang enkripsi layanan Azure AI
Data dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang sesuai dengan FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk Anda. Data Anda aman secara default, dan Anda tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.
Tentang manajemen kunci enkripsi
Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Jika Anda menggunakan tingkat harga yang mendukung kunci yang dikelola pelanggan, Anda dapat melihat pengaturan enkripsi untuk sumber daya Anda di bagian Enkripsi portal Azure, seperti yang ditunjukkan pada gambar berikut.
Untuk langganan yang hanya mendukung kunci enkripsi yang dikelola Microsoft, Anda tidak akan memiliki bagian Enkripsi .
Kunci yang dikelola pelanggan dengan Azure Key Vault
Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Ada juga opsi untuk mengelola langganan Anda dengan kunci Anda sendiri yang disebut kunci yang dikelola pelanggan (CMK). CMK menawarkan fleksibilitas yang lebih besar untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda. Jika CMK dikonfigurasi untuk langganan Anda, kami juga menyediakan enkripsi ganda, yang menawarkan lapisan perlindungan kedua, sambil memungkinkan Anda mengontrol kunci enkripsi melalui Azure Key Vault Anda.
Ikuti langkah ini untuk mengaktifkan log untuk kunci yang dikelola pelanggan untuk Penerjemah:
- Buat Penerjemah regional baru atau sumber daya layanan Azure AI regional Anda. Kunci yang dikelola pelanggan tidak akan berfungsi dengan sumber daya global.
- Aktifkan Identitas Terkelola di portal Microsoft Azure, dan tambahkan informasi kunci yang dikelola pelanggan Anda.
- Buat ruang kerja baru di Penerjemah Kustom dan kaitkan informasi langganan ini.
Aktifkan kunci yang dikelola pelanggan
Anda harus menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola-pelanggan Anda. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Sumber daya layanan Azure AI dan brankas kunci harus berada di wilayah yang sama dan di penyewa Microsoft Entra yang sama, tetapi dapat berada di langganan yang berbeda. Untuk mengetahui informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?.
Sumber daya layanan Azure AI baru selalu dienkripsi menggunakan kunci yang dikelola Microsoft. Tidak dimungkinkan untuk mengaktifkan kunci yang dikelola pelanggan pada saat sumber daya dibuat. Kunci yang dikelola pelanggan disimpan di Azure Key Vault. Brankas kunci harus disediakan dengan kebijakan akses yang memberikan izin kunci ke identitas terkelola yang terkait dengan sumber daya layanan Azure AI. Identitas terkelola tersedia segera setelah sumber daya dibuat.
Untuk mempelajari cara menggunakan kunci yang dikelola pelanggan dengan azure Key Vault untuk enkripsi layanan Azure AI, lihat:
Mengaktifkan kunci yang dikelola pelanggan juga akan mengaktifkan identitas terkelola yang ditetapkan sistem, fitur ID Microsoft Entra. Setelah identitas terkelola yang ditetapkan sistem diaktifkan, sumber daya ini akan didaftarkan dengan ID Microsoft Entra. Setelah terdaftar, identitas terkelola akan diberikan akses ke Azure Key Vault yang dipilih selama penyiapan kunci yang dikelola pelanggan. Pelajari selengkapnya tentang Identitas Terkelola.
Penting
Jika Anda menonaktifkan identitas terkelola yang ditetapkan sistem, akses ke brankas kunci akan dihapus dan data apa pun yang dienkripsi dengan kunci pelanggan tidak akan dapat diakses lagi. Fitur apa pun yang bergantung pada data ini akan berhenti berfungsi. Model apa pun yang telah Anda terapkan juga tidak akan dibatalkan penerapannya. Semua data yang diunggah akan dihapus dari Penerjemah Kustom. Jika identitas terkelola diaktifkan kembali, kami tidak akan secara otomatis menyebarkannya ulang untuk Anda.
Penting
Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Microsoft Azure, identitas terkelola secara otomatis ditetapkan di bawah penutup. Jika Anda kemudian memindahkan langganan, grup sumber daya, atau sumber daya dari satu direktori Microsoft Entra ke direktori lain, identitas terkelola yang terkait dengan sumber daya tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Entra di FAQ dan masalah umum terkait identitas terkelola untuk sumber daya Azure.
Simpann kunci yang dikelola pelanggan di Azure Key Vault
Untuk mengaktifkan kunci yang dikelola pelanggan, Anda harus menggunakan Azure Key Vault untuk menyimpan kunci. Anda harus mengaktifkan Penghapusan Sementara dan Jangan Hapus Permanen properti pada brankas kunci.
Hanya kunci RSA berukuran 2048 yang didukung dengan enkripsi layanan Azure AI. Untuk mengetahui informasi selengkapnya tentang kunci, lihat kunci Azure Key Vault di Tentang kunci, rahasia, dan sertifikat Azure Key Vault.
Catatan
Jika seluruh brankas kunci dihapus, data Anda tidak akan lagi ditampilkan dan semua model tidak akan meledak.disebarkan ulang. Semua data yang diunggah akan dihapus dari Penerjemah Kustom.
Mencabut akses ke kunci yang dikelola pelanggan
Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI. Untuk mengetahui informasi selengkapnya, lihat Azure Key Vault PowerShell atau Azure Key Vault CLI. Mencabut akses secara efektif memblokir akses ke semua data di sumber daya layanan Azure AI dan model Anda akan tidak disebarkan, karena kunci enkripsi tidak dapat diakses oleh layanan Azure AI. Semua data yang diunggah akan dihapus dari Penerjemah Kustom.