Crittografia del servizio linguistico dei dati inattivi
Il servizio di linguaggio crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud. La crittografia del servizio di linguaggio protegge i dati e consente di soddisfare gli impegni di sicurezza e conformità dell'organizzazione.
Informazioni sulla crittografia dei servizi di intelligenza artificiale di Azure
I dati vengono crittografati e decrittografati usando la crittografia AES a 256 bit conforme a FIPS 140-2. La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestiti per l'utente. I dati sono protetti per impostazione predefinita e non è necessario modificare il codice o le applicazioni per sfruttare la crittografia.
Informazioni sulla gestione delle chiavi di crittografia
Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con le proprie chiavi con chiavi gestite dal cliente. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
Chiavi gestite dal cliente con Azure Key Vault
È anche possibile gestire la sottoscrizione con chiavi personalizzate. Le chiavi gestite dal cliente (CMK), note anche come BYOK (Bring Your Own Key), offrono una maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare le API Azure Key Vault per generare chiavi. La risorsa dei servizi di intelligenza artificiale di Azure e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Che cos'è Azure Key Vault?.
Abilitare chiavi gestite dal cliente
Una nuova risorsa dei servizi di intelligenza artificiale di Azure viene sempre crittografata usando chiavi gestite da Microsoft. Non è possibile abilitare le chiavi gestite dal cliente al momento della creazione della risorsa. Le chiavi gestite dal cliente vengono archiviate in Azure Key Vault e l'insieme di credenziali delle chiavi deve essere sottoposto a provisioning con criteri di accesso che concedono le autorizzazioni di chiave all'identità gestita associata alla risorsa dei servizi di intelligenza artificiale di Azure. L'identità gestita è disponibile solo dopo la creazione della risorsa usando il piano tariffario per la chiave gestita.
Per informazioni su come usare le chiavi gestite dal cliente con Azure Key Vault per la crittografia dei servizi di intelligenza artificiale di Azure, vedere:
L'abilitazione delle chiavi gestite dal cliente consentirà anche un'identità gestita assegnata dal sistema, una funzionalità dell'ID Microsoft Entra. Dopo aver abilitato l'identità gestita assegnata dal sistema, questa risorsa verrà registrata con l'ID Microsoft Entra. Dopo la registrazione, all'identità gestita verrà concesso l'accesso all'insieme di credenziali delle chiavi selezionato durante la configurazione della chiave gestita dal cliente. Altre informazioni sulle identità gestite sono disponibili.
Importante
Se si disabilitano le identità gestite assegnate dal sistema, l'accesso all'insieme di credenziali delle chiavi verrà rimosso e tutti i dati crittografati con le chiavi del cliente non saranno più accessibili. Tutte le funzionalità dipendenti da questi dati smetteranno di funzionare.
Importante
Le identità gestite attualmente non supportano gli scenari tra directory. Quando si configurano le chiavi gestite dal cliente nel portale di Azure, viene assegnata automaticamente un'identità gestita sotto le quinte. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory di Microsoft Entra a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory di Microsoft Entra nelle domande frequenti e problemi noti relativi alle identità gestite per le risorse di Azure.
Archiviare le chiavi gestite dal cliente in Azure Key Vault
Per abilitare le chiavi gestite dal cliente, è necessario usare un insieme di credenziali delle chiavi di Azure per archiviare le chiavi. È necessario abilitare entrambe le proprietà Eliminazione temporanea e Non ripulire nell'insieme di credenziali delle chiavi.
Solo le chiavi RSA di dimensioni 2048 sono supportate con la crittografia dei servizi di intelligenza artificiale di Azure. Per altre informazioni sulle chiavi, vedere Chiavi di Key Vault in Informazioni su chiavi, segreti e certificati di Azure Key Vault.
Ruotare le chiavi gestite dal cliente
È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa dei servizi di intelligenza artificiale di Azure per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nel portale di Azure, vedere la sezione Aggiornare la versione della chiave in Configurare le chiavi gestite dal cliente per i servizi di intelligenza artificiale di Azure usando il portale di Azure.
La rotazione della chiave non attiva la ricrittografazione dei dati nella risorsa. Non sono necessarie altre azioni da parte dell'utente.
Revocare l'accesso alle chiavi gestite dal cliente
Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca in modo efficace l'accesso a tutti i dati nella risorsa dei servizi di intelligenza artificiale di Azure, perché la chiave di crittografia non è accessibile dai servizi di intelligenza artificiale di Azure.