Enkripsi layanan Pemahaman Bahasa data saat tidak aktif

Layanan Pemahaman Bahasa secara otomatis mengenkripsi data Anda saat data disimpan ke cloud. Enkripsi sisi klien melindungi data Anda dan membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda.

Tentang enkripsi Layanan Kognitif

Data dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang sesuai dengan FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk Anda. Data Anda aman secara default, dan Anda tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.

Tentang manajemen kunci enkripsi

Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Ada juga opsi untuk mengelola langganan dengan kunci Anda sendiri yang disebut dengan kunci yang dikelola pelanggan (CMK). CMK menawarkan fleksibilitas yang lebih luas untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Kunci yang dikelola pelanggan dengan Azure Key Vault

Ada juga opsi untuk mengelola langganan Anda dengan kunci Anda sendiri dengan kunci yang dikelola Pelanggan. Kunci yang dikelola pelanggan (CMK),juga dikenal sebagai Bring Your Own Key (BYOK), menawarkan fleksibilitas yang lebih luas untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Anda harus menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola pelanggan Anda. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Sumber daya Azure Cognitive Services dan brankas kunci harus berada di wilayah yang sama dan di penyewa Azure Active Directory (Azure AD) yang sama, tetapi dapat berada di langganan yang berbeda. Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?.

Kunci yang dikelola pelanggan untuk Pemahaman Bahasa

Untuk meminta kemampuan menggunakan kunci yang dikelola pelanggan, isi dan kirimkan Formulir Permintaan Kunci yang Dikelola Pelanggan Layanan LUIS. Perlu sekitar 3-5 hari kerja untuk mendapatkan informasi terbaru status permintaan Anda. Tergantung pada permintaan, Anda dapat ditempatkan dalam antrean dan disetujui saat ruang tersedia. Setelah disetujui untuk menggunakan CMK dengan LUIS, Anda harus membuat sumber daya Pemahaman Bahasa baru dari portal Microsoft Azure dan memilih E0 sebagai Tingkat Harga. SKU baru akan berfungsi sama dengan F0 SKU yang sudah tersedia kecuali CMK. Pengguna tidak akan dapat memutakhirkan dari F0 ke E0 SKU baru.

Batasan

Ada beberapa batasan saat menggunakan tingkat E0 dengan aplikasi yang sudah ada/dibuat sebelumnya:

• Migrasi ke sumber daya E0 akan diblokir. Pengguna hanya akan dapat memigrasikan aplikasi mereka ke sumber daya F0. Setelah memigrasikan sumber daya yang ada ke F0, Anda dapat membuat sumber daya baru di tingkat E0. Pelajari selengkapnya migrasi pengguna.
• Memindahkan aplikasi ke atau dari sumber daya E0 akan diblokir. Pekerjaan untuk batasan ini adalah mengekspor aplikasi Anda yang ada, dan mengimpornya sebagai sumber daya E0.
• Fitur pemeriksaan Bing Spell tidak didukung.
• Pencatatan lalu lintas pengguna akhir dinonaktifkan jika aplikasi Anda adalah E0.
• Kemampuan penyiapan Ucapan dari layanan Azure Bot tidak didukung untuk aplikasi di tingkat E0. Fitur ini tersedia melalui Azure Bot Service, yang tidak mendukung CMK.
• Kemampuan penyiapan ucapan dari portal memerlukan Penyimpanan Blob Azure. Untuk informasi selengkapnya, lihat membawa penyimpanan Anda sendiri.

Aktifkan kunci yang dikelola pelanggan

Sumber daya Layanan Kognitif baru selalu dienkripsi menggunakan kunci yang dikelola Microsoft. Tidak dimungkinkan untuk mengaktifkan kunci yang dikelola pelanggan pada saat sumber daya dibuat. Kunci yang dikelola pelanggan disimpan di Azure Key Vault, dan brankas kunci harus disediakan dengan kebijakan akses yang memberikan izin utama ke identitas terkelola yang terkait dengan sumber daya Layanan Kognitif. Identitas terkelola hanya tersedia setelah sumber daya dibuat menggunakan Tingkat Harga untuk CMK.

Untuk mempelajari cara menggunakan kunci yang dikelola pelanggan dengan enkripsi Azure Key Vault for Cognitive Services, lihat:

• Konfigurasikan kunci yang dikelola pelanggan dengan Azure Key Vault untuk enkripsi Azure Cognitive Services dari portal Microsoft Azure

Mengaktifkan kunci yang dikelola pelanggan juga akan mengaktifkan sistem yang ditetapkan identitas terkelola, fitur Microsoft Azure Active Directory. Setelah sistem menetapkan identitas terkelola diaktifkan, sumber daya ini akan terdaftar di Microsoft Azure Active Directory. Setelah terdaftar, identitas terkelola akan diberikan akses ke Azure Key Vault yang dipilih selama penyiapan kunci yang dikelola pelanggan. Pelajari selengkapnya tentang Identitas Terkelola.

Penting

Jika Anda menonaktifkan identitas terkelola yang ditetapkan sistem, akses ke brankas kunci akan dihapus dan data apa pun yang dienkripsi dengan kunci pelanggan tidak akan dapat diakses lagi. Fitur apa pun yang bergantung pada data ini akan berhenti berfungsi.

Penting

Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Microsoft Azure, identitas terkelola secara otomatis ditetapkan di bawah penutup. Jika kemudian Anda memindahkan langganan, grup sumber daya, atau sumber daya dari satu direktori Microsoft Azure Active Directory ke direktori lain, identitas terkelola yang terkait dengan sumber daya tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Azure Active Directory di Tanya Jawab dan masalah umum dengan identitas terkelola untuk sumber daya Azure.

Simpann kunci yang dikelola pelanggan di Azure Key Vault

Untuk mengaktifkan kunci yang dikelola pelanggan, Anda harus menggunakan Azure Key Vault untuk menyimpan kunci. Anda harus mengaktifkan Penghapusan Sementara dan Jangan Hapus Permanen properti pada brankas kunci.

Hanya kunci RSA ukuran 2048 yang didukung dengan enkripsi Azure Cognitive Services. Untuk informasi selengkapnya tentang kunci, lihat kunci Key Vault di Tentang kunci, rahasia, dan sertifikat Azure Key Vault.

Memutar kunci yang dikelola pelanggan

Anda dapat memutar kunci yang dikelola pelanggan di Azure Key Vault sesuai dengan kebijakan kepatuhan Anda. Ketika kunci diputar, Anda harus memperbarui sumber daya Layanan Kognitif untuk menggunakan URI kunci baru. Untuk mempelajari cara memperbarui sumber daya untuk menggunakan versi baru kunci di portal Microsoft Azure, lihat bagian berjudul Perbarui versi kunci dalam Mengonfigurasi kunci yang dikelola pelanggan untuk Layanan Kognitif dengan menggunakan portal Microsoft Azure.

Memutar kunci tidak memicu enkripsi ulang data dalam sumber daya. Tidak ada tindakan lebih lanjut yang diperlukan dari pengguna.

Mencabut akses ke kunci yang dikelola pelanggan

Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI. Untuk informasi selengkapnya, lihat Azure Key Vault PowerShell atau Azure Key Vault CLI. Mencabut akses secara efektif memblokir akses ke semua data dalam sumber daya Layanan Kognitif, karena kunci enkripsi tidak dapat diakses oleh Layanan Kognitif.

Langkah berikutnya

• Formulir Permintaan Kunci yang Dikelola Pelanggan Layanan LUIS
• Pelajari lebih lanjut tentang Azure Key Vault