Personalizer サービスによる保存データの暗号化Personalizer service encryption of data at rest

Personalizer サービスでは、クラウドに永続化されるときにデータが自動的に暗号化されます。The Personalizer service automatically encrypts your data when persisted it to the cloud. Personalizer サービスの暗号化によってデータは保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。The Personalizer service encryption protects your data and to help you to meet your organizational security and compliance commitments.

Cognitive Services の暗号化についてAbout Cognitive Services encryption

データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。Data is encrypted and decrypted using FIPS 140-2 compliant 256-bit AES encryption. 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。Encryption and decryption are transparent, meaning encryption and access are managed for you. データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。Your data is secure by default and you don't need to modify your code or applications to take advantage of encryption.

暗号化キーの管理についてAbout encryption key management

サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。By default, your subscription uses Microsoft-managed encryption keys. カスタマー マネージド キー (CMK) と呼ばれているユーザー独自のキーを使用してサブスクリプションを管理するオプションもあります。There is also the option to manage your subscription with your own keys called customer-managed keys (CMK). CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。CMK offer greater flexibility to create, rotate, disable, and revoke access controls. また、データを保護するために使われる暗号化キーを監査することもできます。You can also audit the encryption keys used to protect your data. CMK がサブスクリプション用に構成されている場合は、Azure Key Vault で暗号化キーを制御しながら、2 つ目の保護レイヤーを提供する二重暗号化が提供されます。If CMK is configured for your subscription, double encryption is provided, which offers a second layer of protection, while allowing you to control the encryption key through your Azure Key Vault.

重要

カスタマー マネージド キーは、E0 価格レベルでのみ利用できます。Customer-managed keys are only available on the E0 pricing tier. カスタマー マネージド キーを使用できるようにするには、Personalizer サービス カスタマー マネージド キー要求フォームに記入して送信します。To request the ability to use customer-managed keys, fill out and submit the Personalizer Service Customer-Managed Key Request Form. 要求の状態について連絡を差し上げるまで、約 3 から 5 営業日かかります。It will take approximately 3-5 business days to hear back on the status of your request. 要求によっては、お客様は待ち行列に登録され、スペースが利用できるようになってから承認される場合があります。Depending on demand, you may be placed in a queue and approved as space becomes available. Personalizer サービスでの CMK の使用が承認されたら、新しい Personalizer リソースを作成し、価格レベルとして E0 を選択する必要があります。Once approved for using CMK with the Personalizer service, you will need to create a new Personalizer resource and select E0 as the Pricing Tier. E0 価格レベルで Personalizer リソースを作成したら、Azure Key Vault を使用してマネージド ID を設定できます。Once your Personalizer resource with the E0 pricing tier is created, you can use Azure Key Vault to set up your managed identity.

Azure Key Vault でのカスタマー マネージド キーCustomer-managed keys with Azure Key Vault

カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。You must use Azure Key Vault to store customer-managed keys. 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Cognitive Services リソースとキー コンテナーは、同じリージョンの同じ Azure Active Directory (Azure AD) テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。The Cognitive Services resource and the key vault must be in the same region and in the same Azure Active Directory (Azure AD) tenant, but they can be in different subscriptions. Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。For more information about Azure Key Vault, see What is Azure Key Vault?.

新しい Cognitive Services リソースが作成されるときには、常に Microsoft のマネージド キーを使用して暗号化されます。When a new Cognitive Services resource is created it is always encrypted using Microsoft-managed keys. リソースを作成するときに、カスタマー マネージド キーを有効にすることはできません。It's not possible to enable customer-managed keys at the time that the resource is created. カスタマー マネージド キーは Azure Key Vault に格納され、キー コンテナーは、Cognitive Services リソースに関連付けられているマネージド ID に対してキーのアクセス許可を付与するアクセス ポリシーを使用して、プロビジョニングする必要があります。Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the Cognitive Services resource. マネージド ID は、CMK に必要な価格レベルを使用してリソースを作成した後でのみ使用できます。The managed identity is available only after the resource is created using the Pricing Tier required for CMK.

カスタマー マネージド キーを有効にすると、システムによって割り当てられるマネージド ID (Azure AD の機能) も有効になります。Enabling customer managed keys will also enable a system assigned managed identity, a feature of Azure AD. システム割り当てのマネージド ID が有効になると、このリソースは Azure Active Directory に登録されます。Once the system assigned managed identity is enabled, this resource will be registered with Azure Active Directory. 登録された後、マネージド ID には、カスタマー マネージド キーのセットアップ時に選択されたキー コンテナーへのアクセス権が付与されます。After being registered, the managed identity will be given access to the Key Vault selected during customer managed key setup.

重要

システム割り当てのマネージド ID を無効にすると、キー コンテナーへのアクセスは削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。If you disable system assigned managed identities, access to the key vault will be removed and any data encrypted with the customer keys will no longer be accessible. このデータに依存する機能はすべて動作しなくなります。Any features depended on this data will stop working.

重要

マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。Managed identities do not currently support cross-directory scenarios. Azure portal でカスタマー マネージド キーを構成すると、内部でマネージド ID が自動的に割り当てられます。When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned under the covers. その後、サブスクリプション、リソース グループ、またはリソースを 1 つの Azure AD ディレクトリから別のディレクトリに移動した場合、そのリソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。If you subsequently move the subscription, resource group, or resource from one Azure AD directory to another, the managed identity associated with the resource is not transferred to the new tenant, so customer-managed keys may no longer work. 詳細については、「Azure リソース用マネージド ID に関する FAQ と既知の問題」の中の「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Azure Key Vault を構成するConfigure Azure Key Vault

カスタマー マネージド キーを使用するには、キー コンテナーで "論理的な削除" と "消去しない" の 2 つのプロパティが設定されている必要があります。Using customer-managed keys requires that two properties be set in the key vault, Soft Delete and Do Not Purge. これらのプロパティは既定では有効になっていませんが、新規または既存のキー コンテナーに対して PowerShell または Azure CLI を使用して有効にすることができます。These properties are not enabled by default, but can be enabled using either PowerShell or Azure CLI on a new or existing key vault.

重要

"論理的な削除" と "消去しない" のプロパティを有効にしないで、キーを削除すると、Cognitive Services リソース内のデータを復旧できなくなります。If you do not have the Soft Delete and Do Not Purge properties enabled and you delete your key, you won't be able to recover the data in your Cognitive Service resource.

既存のキー コンテナーでこれらのプロパティを有効にする方法については、次のいずれかの記事の「論理的な削除を有効にする」および「消去保護を有効にする」を参照してください。To learn how to enable these properties on an existing key vault, see the sections titled Enabling soft-delete and Enabling Purge Protection in one of the following articles:

Azure Storage 暗号化では、サイズが 2048 の RSA キーのみがサポートされています。Only RSA keys of size 2048 are supported with Azure Storage encryption. キーの詳細については、「Azure Key Vault のキー、シークレット、証明書について」の「Key Vault のキー」を参照してください。For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets and certificates.

リソース用にカスタマー マネージド キーを有効にするEnable customer-managed keys for your resource

Azure portal でカスタマー マネージド キーを有効にするには、次の手順のようにします。To enable customer-managed keys in the Azure portal, follow these steps:

  1. Cognitive Services リソースに移動します。Navigate to your Cognitive Services resource.

  2. Cognitive Services リソースの [設定] ブレードで、 [暗号化] をクリックします。On the Settings blade for your Cognitive Services resource, click Encryption. 次の図に示すように、 [カスタマー マネージド キー] オプションを選択します。Select the Customer Managed Keys option, as shown in the following figure.

    [カスタマー マネージド キー] を選択する方法を示すスクリーンショット

キーを指定するSpecify a key

カスタマー マネージド キーを有効にした後で、キーと Cognitive Services リソースの関連付けを指定することができます。After you enable customer-managed keys, you'll have the opportunity to specify a key to associate with the Cognitive Services resource.

URI としてキーを指定するSpecify a key as a URI

URI としてキーを指定するには、次の手順のようにします。To specify a key as a URI, follow these steps:

  1. Azure portal でキーの URI を調べるには、キー コンテナーに移動して、 [キー] 設定を選択します。To locate the key URI in the Azure portal, navigate to your key vault, and select the Keys setting. 目的のキーを選択し、キーをクリックしてそのバージョンを表示します。Select the desired key, then click the key to view its versions. そのバージョンの設定を表示するには、キーのバージョンを選択します。Select a key version to view the settings for that version.

  2. URI を示している [キー識別子] フィールドの値をコピーします。Copy the value of the Key Identifier field, which provides the URI.

    キー コンテナーのキー URI が表示されているスクリーンショット

  3. ストレージ アカウントの [暗号化] の設定で、 [キー URI を入力] オプションを選択します。In the Encryption settings for your storage account, choose the Enter key URI option.

  4. コピーした URI を [キー URI] フィールドに貼り付けます。Paste the URI that you copied into the Key URI field.

    キー URI の入力方法が示されているスクリーンショット

  5. キー コンテナーを含むサブスクリプションを指定します。Specify the subscription that contains the key vault.

  6. 変更を保存します。Save your changes.

キー コンテナーのキーを指定するSpecify a key from a key vault

キー コンテナーからキーを指定するには、まず、キーが含まれるキー コンテナーがあることを確認します。To specify a key from a key vault, first make sure that you have a key vault that contains a key. キー コンテナーからキーを指定するには、次の手順のようにします。To specify a key from a key vault, follow these steps:

  1. [Select from Key Vault](キー コンテナーから選択) オプションを選択します。Choose the Select from Key Vault option.

  2. 使用するキーを含むキー コンテナーを選択します。Select the key vault containing the key you want to use.

  3. キー コンテナーからキーを選択します。Select the key from the key vault.

    カスタマー マネージド キーのオプションが示されているスクリーンショット

  4. 変更を保存します。Save your changes.

キーのバージョンを更新するUpdate the key version

キーの新しいバージョンを作成した場合、その新しいバージョンを使用するには、Cognitive Services リソースを更新します。When you create a new version of a key, update the Cognitive Services resource to use the new version. 次の手順に従います。Follow these steps:

  1. Cognitive Services リソースに移動し、 [暗号化] の設定を表示します。Navigate to your Cognitive Services resource and display the Encryption settings.
  2. 新しいキーのバージョンの URI を入力します。Enter the URI for the new key version. または、キー コンテナーとキーを再び選択して、バージョンを更新してもかまいません。Alternately, you can select the key vault and the key again to update the version.
  3. 変更を保存します。Save your changes.

別のキーを使用するUse a different key

暗号化に使用されるキーを変更するには、次の手順のようにします。To change the key used for encryption, follow these steps:

  1. Cognitive Services リソースに移動し、 [暗号化] の設定を表示します。Navigate to your Cognitive Services resource and display the Encryption settings.
  2. 新しいキーの URI を入力します。Enter the URI for the new key. キーコンテナーを選択して新しいキーを選択することもできます。Alternately, you can select the key vault and choose a new key.
  3. 変更を保存します。Save your changes.

カスタマー マネージド キーをローテーションするRotate customer-managed keys

Azure Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。You can rotate a customer-managed key in Azure Key Vault according to your compliance policies. キーをローテーションするときは、新しいキー URI を使用するように Cognitive Services リソースを更新する必要があります。When the key is rotated, you must update the Cognitive Services resource to use the new key URI. Azure portal で新しいバージョンのキーを使用するようにリソースを更新する方法については、「キーのバージョンを更新する」のセクションを参照してください。To learn how to update the resource to use a new version of the key in the Azure portal, see Update the key version.

キーをローテーションしても、リソースのデータの再暗号化はトリガーされません。Rotating the key does not trigger re-encryption of data in the resource. ユーザーがこれ以上操作を行う必要はありません。There is no further action required from the user.

カスタマー マネージド キーへのアクセス権を取り消すRevoke access to customer-managed keys

カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。To revoke access to customer-managed keys, use PowerShell or Azure CLI. 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. アクセス権を取り消すと、Cognitive Services で暗号化キーにアクセスできなくなるため、Cognitive Services リソース内のすべてのデータへのアクセスが事実上ブロックされます。Revoking access effectively blocks access to all data in the Cognitive Services resource, as the encryption key is inaccessible by Cognitive Services.

カスタマー マネージド キーを無効にするDisable customer-managed keys

カスタマー マネージド キーを無効にすると、Cognitive Services リソースはそれ以降、Microsoft マネージド キーを使用して暗号化されます。When you disable customer-managed keys, your Cognitive Services resource is then encrypted with Microsoft-managed keys. カスタマー マネージド キーを無効にするには、次の手順を実行します。To disable customer-managed keys, follow these steps:

  1. Cognitive Services リソースに移動し、 [暗号化] の設定を表示します。Navigate to your Cognitive Services resource and display the Encryption settings.
  2. [独自のキーを使用する] 設定の横にあるチェック ボックスをオフにします。Deselect the checkbox next to the Use your own key setting.

次のステップNext steps