Crittografia dei dati in stato di inquieto nel servizio Personalizza esperienze

Il servizio Personalizza esperienze crittografa automaticamente i dati quando vengono resi persistenti nel cloud. La crittografia del servizio Personalizza esperienze protegge i dati e consente di soddisfare gli impegni di sicurezza e conformità dell'organizzazione.

Informazioni sulla crittografia di servizi cognitivi

I dati vengono crittografati e decrittografati usando la crittografia AES a 256 bit conforme allo standard FIPS 140-2 . La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestite per l'utente. I dati sono protetti per impostazione predefinita e non è necessario modificare il codice o le applicazioni per sfruttare la crittografia.

Informazioni sulla gestione delle chiavi di crittografia

Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con chiavi personalizzate denominate chiavi gestite dal cliente (CMK). CMK offre una maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati. Se CMK è configurato per la sottoscrizione, viene fornita la crittografia doppia, che offre un secondo livello di protezione, consentendo al contempo di controllare la chiave di crittografia tramite il Azure Key Vault.

Importante

Le chiavi gestite dal cliente sono disponibili solo nel piano tariffario E0. Per richiedere la possibilità di usare chiavi gestite dal cliente, compilare e inviare il modulo di richiesta della chiave del servizio Customer-Managed Personalizza esperienze. Saranno circa 3-5 giorni lavorativi per ascoltare lo stato della richiesta. A seconda della richiesta, è possibile che si venga inseriti in una coda e approvati quando lo spazio diventa disponibile. Dopo aver approvato l'uso di CMK con il servizio Personalizza esperienze, sarà necessario creare una nuova risorsa di Personalizza esperienze e selezionare E0 come piano tariffario. Dopo aver creato la risorsa di Personalizza esperienze con il piano tariffario E0, è possibile usare Azure Key Vault per configurare l'identità gestita.

Chiavi gestite dal cliente con Azure Key Vault

È necessario utilizzare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare le API Azure Key Vault per generare chiavi. La risorsa Servizi cognitivi e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area e nello stesso tenant di Azure Active Directory (Azure AD), ma possono trovarsi in sottoscrizioni diverse. Per ulteriori informazioni su Azure Key Vault, vedere che cos'è Azure Key Vault?.

Quando viene creata una nuova risorsa di servizi cognitivi, questo viene sempre crittografato con le chiavi gestite da Microsoft. Non è possibile abilitare le chiavi gestite dal cliente nel momento in cui viene creata la risorsa. Le chiavi gestite dal cliente vengono archiviate in Azure Key Vault e l'insieme di credenziali delle chiavi deve essere sottoposto a provisioning con criteri di accesso che concedono le autorizzazioni chiave all'identità gestita associata alla risorsa Servizi cognitivi. L'identità gestita è disponibile solo dopo la creazione della risorsa usando il piano tariffario richiesto per CMK.

L'abilitazione delle chiavi gestite dal cliente consentirà anche un' identità gestitaassegnata dal sistema, una funzionalità di Azure ad. Una volta abilitata l'identità gestita assegnata dal sistema, questa risorsa verrà registrata con Azure Active Directory. Dopo la registrazione, all'identità gestita verrà concesso l'accesso al Key Vault selezionato durante l'installazione della chiave gestita dal cliente.

Importante

Se si disabilitano le identità gestite assegnate dal sistema, l'accesso all'insieme di credenziali delle chiavi verrà rimosso e i dati crittografati con le chiavi del cliente non saranno più accessibili. Tutte le funzionalità che dipendono da questi dati smetteranno di funzionare.

Importante

Le identità gestite attualmente non supportano gli scenari tra directory. Quando si configurano le chiavi gestite dal cliente nel portale di Azure, un'identità gestita viene assegnata automaticamente dietro le quinte. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory Azure AD a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere trasferimento di una sottoscrizione tra Azure ad directory nelle domande frequenti e problemi noti relativi alle identità gestite per le risorse di Azure.

Configurare Azure Key Vault

Con le chiavi gestite dal cliente è necessario impostare due proprietà nell'insieme di credenziali delle chiavi, eliminare temporaneamente e non ripulire. Queste proprietà non sono abilitate per impostazione predefinita, ma possono essere abilitate tramite PowerShell o l'interfaccia della riga di comando di Azure in un insieme di credenziali delle chiavi nuovo o esistente.

Importante

Se non si dispone dell' eliminazione temporanea e non si ripuliscono le proprietà abilitate e si elimina la chiave, non sarà possibile recuperare i dati nella risorsa del servizio cognitive.

Per informazioni su come abilitare queste proprietà in un insieme di credenziali delle chiavi esistente, vedere le sezioni Abilitazione dell'eliminazione temporanea e Abilitazione della protezione dall'eliminazione in uno degli articoli seguenti:

Con la crittografia di archiviazione di Azure sono supportate solo le chiavi RSA della dimensione 2048. Per ulteriori informazioni sulle chiavi, vedere Key Vault chiavi in informazioni su Azure Key Vault chiavi, segreti e certificati.

Abilitare le chiavi gestite dal cliente per la risorsa

Per abilitare le chiavi gestite dal cliente nel portale di Azure, attenersi alla procedura seguente:

  1. Passare alla risorsa Servizi cognitivi.

  2. Nel pannello Impostazioni della risorsa Servizi cognitivi fare clic su crittografia. Selezionare l'opzione chiavi gestite dal cliente , come illustrato nella figura seguente.

    Screenshot che illustra come selezionare le chiavi gestite dal cliente

Specificare una chiave

Dopo aver abilitato le chiavi gestite dal cliente, sarà possibile specificare una chiave da associare alla risorsa Servizi cognitivi.

Specificare una chiave da un URI

Per specificare una chiave come URI, attenersi alla procedura seguente:

  1. Per individuare l'URI della chiave nella portale di Azure, passare all'insieme di credenziali delle chiavi e selezionare l'impostazione chiavi . Selezionare la chiave desiderata, quindi fare clic sulla chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le impostazioni per tale versione.

  2. Copiare il valore del campo identificatore chiave , che fornisce l'URI.

    Screenshot che mostra l'URI della chiave di Key Vault

  3. Nelle impostazioni di crittografia per l'account di archiviazione scegliere l'opzione immettere l'URI del tasto .

  4. Incollare l'URI copiato nel campo URI chiave .

    Screenshot che illustra come immettere l'URI della chiave

  5. Specificare la sottoscrizione che contiene l'insieme di credenziali delle chiavi.

  6. Salvare le modifiche.

Specificare una chiave da un insieme di credenziali delle chiavi

Per specificare una chiave da un insieme di credenziali delle chiavi, assicurarsi innanzitutto di avere un insieme di credenziali delle chiavi contenente una chiave. Per specificare una chiave da un insieme di credenziali delle chiavi, seguire questa procedura:

  1. Scegliere l'opzione Selezionare la chiave dall'insieme di credenziali delle chiavi.

  2. Selezionare l'insieme di credenziali delle chiavi contenente la chiave che si vuole usare.

  3. Selezionare la chiave dall'insieme di credenziali delle chiavi.

    Screenshot che mostra l'opzione della chiave gestita dal cliente

  4. Salvare le modifiche.

Aggiornare la versione della chiave

Quando si crea una nuova versione di una chiave, aggiornare la risorsa Servizi cognitivi per usare la nuova versione. A tale scopo, seguire questa procedura:

  1. Passare alla risorsa Servizi cognitivi e visualizzare le impostazioni di crittografia .
  2. Immettere l'URI per la nuova versione della chiave. In alternativa, è possibile selezionare di nuovo l'insieme di credenziali delle chiavi e la chiave per aggiornare la versione.
  3. Salvare le modifiche.

Usare una chiave diversa

Per modificare la chiave usata per la crittografia, attenersi alla procedura seguente:

  1. Passare alla risorsa Servizi cognitivi e visualizzare le impostazioni di crittografia .
  2. Immettere l'URI della nuova chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e scegliere una nuova chiave.
  3. Salvare le modifiche.

Ruotare le chiavi gestite dal cliente

È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa Servizi cognitivi per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nella portale di Azure, vedere aggiornare la versione della chiave.

La rotazione della chiave non attiva la nuova crittografia dei dati nella risorsa. Non sono necessarie altre azioni da parte dell'utente.

Revocare l'accesso alle chiavi gestite dal cliente

Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca in modo efficace l'accesso a tutti i dati nella risorsa Servizi cognitivi, in quanto la chiave di crittografia non è accessibile dai servizi cognitivi.

Disabilitare le chiavi gestite dal cliente

Quando si disabilitano le chiavi gestite dal cliente, la risorsa Servizi cognitivi viene quindi crittografata con le chiavi gestite da Microsoft. Per disabilitare le chiavi gestite dal cliente, attenersi alla seguente procedura:

  1. Passare alla risorsa Servizi cognitivi e visualizzare le impostazioni di crittografia .
  2. Deselezionare la casella di controllo accanto all'impostazione Usa una chiave personalizzata .

Passaggi successivi