Language Understanding サービスでの保存データの暗号化Language Understanding service encryption of data at rest

データは、クラウドに永続化されるときに、Language Understanding サービスによって自動的に暗号化されます。The Language Understanding service automatically encrypts your data when it is persisted to the cloud. Language Understanding サービスの暗号化によってデータが保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。The Language Understanding service encryption protects your data and helps you meet your organizational security and compliance commitments.

Cognitive Services の暗号化についてAbout Cognitive Services encryption

データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。Data is encrypted and decrypted using FIPS 140-2 compliant 256-bit AES encryption. 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。Encryption and decryption are transparent, meaning encryption and access are managed for you. データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。Your data is secure by default and you don't need to modify your code or applications to take advantage of encryption.

暗号化キーの管理についてAbout encryption key management

サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。By default, your subscription uses Microsoft-managed encryption keys. カスタマー マネージド キー (CMK) と呼ばれているユーザー独自のキーを使用してサブスクリプションを管理するオプションもあります。There is also the option to manage your subscription with your own keys called customer-managed keys (CMK). CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。CMK offer greater flexibility to create, rotate, disable, and revoke access controls. また、データを保護するために使われる暗号化キーを監査することもできます。You can also audit the encryption keys used to protect your data.

Azure Key Vault でのカスタマー マネージド キーCustomer-managed keys with Azure Key Vault

ユーザー独自のキーを使用してサブスクリプションを管理するためのオプションもあります。There is also an option to manage your subscription with your own keys. カスタマー マネージド キー (CMK、Bring Your Own Key (BYOK) とも呼ばれます) を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。Customer-managed keys (CMK), also known as Bring your own key (BYOK), offer greater flexibility to create, rotate, disable, and revoke access controls. また、データを保護するために使われる暗号化キーを監査することもできます。You can also audit the encryption keys used to protect your data.

カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。You must use Azure Key Vault to store your customer-managed keys. 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Cognitive Services リソースとキー コンテナーは、同じリージョンの同じ Azure Active Directory (Azure AD) テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。The Cognitive Services resource and the key vault must be in the same region and in the same Azure Active Directory (Azure AD) tenant, but they can be in different subscriptions. Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。For more information about Azure Key Vault, see What is Azure Key Vault?.

Language Understanding 用のカスタマー マネージド キーCustomer-managed keys for Language Understanding

カスタマー マネージド キーを使用できるようにするには、 LUIS サービス カスタマー マネージド キー要求フォームに記入して送信します。To request the ability to use customer-managed keys, fill out and submit the LUIS Service Customer-Managed Key Request Form. 要求の状態について連絡を差し上げるまで、約 3 から 5 営業日かかります。It will take approximately 3-5 business days to hear back on the status of your request. 要求によっては、お客様は待ち行列に登録され、スペースが利用できるようになってから承認される場合があります。Depending on demand, you may be placed in a queue and approved as space becomes available. LUIS での CMK の使用が承認されたら、Azure portal から新しい Language Understanding リソースを作成し、価格レベルとして E0 を選択する必要があります。Once approved for using CMK with LUIS, you'll need to create a new Language Understanding resource from the Azure portal and select E0 as the Pricing Tier. 新しい SKU は、CMK を除き、既に使用可能な F0 SKU と同じように機能します。The new SKU will function the same as the F0 SKU that is already available except for CMK. ユーザーは、F0 を新しい E0 SKU にアップグレードすることはできません。Users won't be able to upgrade from the F0 to the new E0 SKU.

LUIS サブスクリプションの図


既存のアプリケーションまたは以前に作成したアプリケーションで E0 レベルを使用する場合、いくつかの制限があります。There are some limitations when using the E0 tier with existing/previously created applications:

  • E0 リソースへの移行はブロックされます。Migration to an E0 resource will be blocked. ユーザーは、アプリを F0 リソースに移行することだけができます。Users will only be able to migrate their apps to F0 resources. 既存のリソースを F0 に移行した後は、E0 レベルで新しいリソースを作成できます。After you've migrated an existing resource to F0, you can create a new resource in the E0 tier. 詳しくは、こちらの移行に関する記事をご覧ください。Learn more about migration here.
  • E0 リソースへの、または E0 リソースからのアプリケーションの移動はブロックされます。Moving applications to or from an E0 resource will be blocked. この制限を回避するには、既存のアプリケーションをエクスポートし、E0 リソースとしてインポートします。A work around for this limitation is to export your existing application, and import it as an E0 resource.
  • Bing Spell Check 機能はサポートされていません。The Bing Spell check feature isn't supported.
  • アプリケーションが E0 の場合、エンド ユーザーのトラフィックのログ記録は無効になります。Logging end-user traffic is disabled if your application is E0.
  • Azure Bot Service からの音声プライミング機能は、E0 レベルのアプリケーションではサポートされていません。The Speech priming capability from the Azure Bot service isn't supported for applications in the E0 tier. この機能は Azure Bot Service で利用できますが、Azure Bot Service では CMK はサポートされていません。This feature is available via the Azure Bot Service, which doesn't support CMK.
  • ポータルからの音声プライミング機能には、Azure Blob Storage が必要です。The speech priming capability from the portal requires Azure Blob Storage. 詳しくは、独自のストレージの持ち込みに関する記事をご覧ください。For more information, see bring your own storage.

カスタマー マネージド キーを有効にするEnable customer-managed keys

新しい Cognitive Services リソースは、常に Microsoft のマネージド キーを使用して暗号化されます。A new Cognitive Services resource is always encrypted using Microsoft-managed keys. リソースを作成するときに、カスタマー マネージド キーを有効にすることはできません。It's not possible to enable customer-managed keys at the time that the resource is created. カスタマー マネージド キーは Azure Key Vault に格納され、キー コンテナーは、Cognitive Services リソースに関連付けられているマネージド ID に対してキーのアクセス許可を付与するアクセス ポリシーを使用して、プロビジョニングする必要があります。Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the Cognitive Services resource. マネージド ID は、CMK の価格レベルを使用してリソースを作成した後でのみ使用できます。The managed identity is available only after the resource is created using the Pricing Tier for CMK.

Cognitive Services の暗号化のために Azure Key Vault でカスタマー マネージド キーを使用する方法については、以下を参照してください。To learn how to use customer-managed keys with Azure Key Vault for Cognitive Services encryption, see:

カスタマー マネージド キーを有効にすると、システムによって割り当てられるマネージド ID (Azure AD の機能) も有効になります。Enabling customer managed keys will also enable a system assigned managed identity, a feature of Azure AD. システム割り当てのマネージド ID が有効になると、このリソースは Azure Active Directory に登録されます。Once the system assigned managed identity is enabled, this resource will be registered with Azure Active Directory. 登録された後、マネージド ID には、カスタマー マネージド キーのセットアップ時に選択されたキー コンテナーへのアクセス権が付与されます。After being registered, the managed identity will be given access to the Key Vault selected during customer managed key setup. 詳しくは、マネージド ID に関する記事をご覧ください。You can learn more about Managed Identities.


システム割り当てのマネージド ID を無効にすると、キー コンテナーへのアクセスは削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。If you disable system assigned managed identities, access to the key vault will be removed and any data encrypted with the customer keys will no longer be accessible. このデータに依存する機能はすべて動作しなくなります。Any features depended on this data will stop working.


マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。Managed identities do not currently support cross-directory scenarios. Azure portal でカスタマー マネージド キーを構成すると、内部でマネージド ID が自動的に割り当てられます。When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned under the covers. その後、サブスクリプション、リソース グループ、またはリソースを 1 つの Azure AD ディレクトリから別のディレクトリに移動した場合、そのリソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。If you subsequently move the subscription, resource group, or resource from one Azure AD directory to another, the managed identity associated with the resource is not transferred to the new tenant, so customer-managed keys may no longer work. 詳細については、「Azure リソース用マネージド ID に関する FAQ と既知の問題」の中の「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Azure Key Vault にカスタマー マネージド キーを格納するStore customer-managed keys in Azure Key Vault

カスタマー マネージド キーを有効にするには、Azure キー コンテナーを使用してキーを格納する必要があります。To enable customer-managed keys, you must use an Azure Key Vault to store your keys. Key Vault で [論理的な削除][Do Not Purge](消去しない) の両方のプロパティを有効にする必要があります。You must enable both the Soft Delete and Do Not Purge properties on the key vault.

Cognitive Services の暗号化では、サイズが 2048 の RSA キーのみがサポートされています。Only RSA keys of size 2048 are supported with Cognitive Services encryption. キーの詳細については、「Azure Key Vault のキー、シークレット、証明書について」の「Key Vault のキー」を参照してください。For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets and certificates.

カスタマー マネージド キーをローテーションするRotate customer-managed keys

Azure Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。You can rotate a customer-managed key in Azure Key Vault according to your compliance policies. キーをローテーションするときは、新しいキー URI を使用するように Cognitive Services リソースを更新する必要があります。When the key is rotated, you must update the Cognitive Services resource to use the new key URI. Azure portal で新しいバージョンのキーを使用するようにリソースを更新する方法については、Azure portal を使用した Cognitive Services 用のカスタマー マネージド キーの構成に関する記事の「キーのバージョンを更新する」セクションをご覧ください。To learn how to update the resource to use a new version of the key in the Azure portal, see the section titled Update the key version in Configure customer-managed keys for Cognitive Services by using the Azure portal.

キーをローテーションしても、リソースのデータの再暗号化はトリガーされません。Rotating the key does not trigger re-encryption of data in the resource. ユーザーがこれ以上操作を行う必要はありません。There is no further action required from the user.

カスタマー マネージド キーへのアクセス権を取り消すRevoke access to customer-managed keys

カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。To revoke access to customer-managed keys, use PowerShell or Azure CLI. 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. アクセス権を取り消すと、Cognitive Services で暗号化キーにアクセスできなくなるため、Cognitive Services リソース内のすべてのデータへのアクセスが事実上ブロックされます。Revoking access effectively blocks access to all data in the Cognitive Services resource, as the encryption key is inaccessible by Cognitive Services.

次のステップNext steps