Translator による保存データの暗号化Translator encryption of data at rest

データは Translator によって自動的に暗号化されます。それをアップロードしてカスタム翻訳モデルを作成すると、クラウドに永続化されるので、組織のセキュリティとコンプライアンスの目標を達成するのに役立ちます。Translator automatically encrypts your data, which you upload to build custom translation models, when it is persisted to the cloud, helping to meet your organizational security and compliance goals.

Cognitive Services の暗号化についてAbout Cognitive Services encryption

データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。Data is encrypted and decrypted using FIPS 140-2 compliant 256-bit AES encryption. 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。Encryption and decryption are transparent, meaning encryption and access are managed for you. データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。Your data is secure by default and you don't need to modify your code or applications to take advantage of encryption.

暗号化キーの管理についてAbout encryption key management

サブスクリプションでは、Microsoft のマネージド暗号化キーが既定で使用されます。By default, your subscription uses Microsoft-managed encryption keys. カスタマー マネージド キーをサポートする価格レベルを使用している場合は、次の図に示すように、Azure portal[暗号化] セクションでリソースの暗号化設定を確認できます。If you are using a pricing tier that supports Customer-managed keys, you can see the encryption settings for your resource in the Encryption section of the Azure portal, as shown in the following image.

暗号化の設定を表示する

Microsoft マネージド暗号化キーのみをサポートするサブスクリプションの場合、 [暗号化] セクションはありません。For subscriptions that only support Microsoft-managed encryption keys, you will not have an Encryption section.

Azure Key Vault でのカスタマー マネージド キーCustomer-managed keys with Azure Key Vault

サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。By default, your subscription uses Microsoft-managed encryption keys. カスタマー マネージド キー (CMK) と呼ばれるユーザー独自のキーを使用してサブスクリプションを管理するオプションもあります。There is also the option to manage your subscription with your own keys called customer-managed keys (CMK). CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。CMK offer greater flexibility to create, rotate, disable, and revoke access controls. また、データを保護するために使われる暗号化キーを監査することもできます。You can also audit the encryption keys used to protect your data. CMK がサブスクリプション用に構成されている場合は、Azure Key Vault で暗号化キーを制御しながら、2 つ目の保護レイヤーを提供する二重暗号化を利用できます。If CMK is configured for your subscription, double encryption is provided, which offers a second layer of protection, while allowing you to control the encryption key through your Azure Key Vault.

重要

カスタマー マネージド キーは、Translator サービスのすべての価格レベルで利用できます。Customer-managed keys are available for all pricing tiers for the Translator service. カスタマー マネージド キーを使用できるように要求するには、Translator カスタマー マネージド キー要求フォームに記入して送信します。要求の状態について連絡を差し上げるまで、約 3 から 5 営業日かかります。To request the ability to use customer-managed keys, fill out and submit the Translator Customer-Managed Key Request Form It will take approximately 3-5 business days to hear back on the status of your request. 要求によっては、お客様は待ち行列に登録され、スペースが利用できるようになってから承認される場合があります。Depending on demand, you may be placed in a queue and approved as space becomes available. Translator サービスでの CMK の使用が承認されたら、新しい Translator リソースを作成する必要があります。Once approved for using CMK with the Translator service, you will need to create a new Translator resource. Translator リソースが作成されたら、Azure Key Vault を使用してマネージド ID を設定できます。Once your Translator resource is created, you can use Azure Key Vault to set up your managed identity.

Translator 用のカスタマー マネージド キーを有効にするには、次の手順のようにします。Follow these steps to enable customer-managed keys for Translator:

  1. Translator または Cognitive Services の新しいリージョン リソースを作成します。Create your new regional Translator or regional Cognitive Services resource. これはグローバル リソースでは機能しません。This will not work with a global resource.
  2. Azure portal でマネージド ID を有効にし、カスタマー マネージド キーの情報を追加します。Enabled Managed Identity in the Azure portal, and add your customer-managed key information.
  3. カスタム翻訳ツールで新しいワークスペースを作成し、このサブスクリプション情報を関連付けます。Create a new workspace in Custom Translator and associate this subscription information.

カスタマー マネージド キーを有効にするEnable customer-managed keys

カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。You must use Azure Key Vault to store your customer-managed keys. 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Cognitive Services リソースとキー コンテナーは、同じリージョンの同じ Azure Active Directory (Azure AD) テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。The Cognitive Services resource and the key vault must be in the same region and in the same Azure Active Directory (Azure AD) tenant, but they can be in different subscriptions. Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。For more information about Azure Key Vault, see What is Azure Key Vault?.

新しい Cognitive Services リソースは、常に Microsoft のマネージド キーを使用して暗号化されます。A new Cognitive Services resource is always encrypted using Microsoft-managed keys. リソースを作成するときに、カスタマー マネージド キーを有効にすることはできません。It's not possible to enable customer-managed keys at the time that the resource is created. カスタマー マネージド キーは Azure Key Vault に格納され、キー コンテナーは、Cognitive Services リソースに関連付けられているマネージド ID に対してキーのアクセス許可を付与するアクセス ポリシーを使用して、プロビジョニングする必要があります。Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the Cognitive Services resource. マネージド ID は、リソースが作成されるとすぐに使用できるようになります。The managed identity is available as soon as the resource is created.

Cognitive Services の暗号化のために Azure Key Vault でカスタマー マネージド キーを使用する方法については、以下を参照してください。To learn how to use customer-managed keys with Azure Key Vault for Cognitive Services encryption, see:

カスタマー マネージド キーを有効にすると、システムによって割り当てられるマネージド ID (Azure AD の機能) も有効になります。Enabling customer managed keys will also enable a system assigned managed identity, a feature of Azure AD. システム割り当てのマネージド ID が有効になると、このリソースは Azure Active Directory に登録されます。Once the system assigned managed identity is enabled, this resource will be registered with Azure Active Directory. 登録された後、マネージド ID には、カスタマー マネージド キーのセットアップ時に選択されたキー コンテナーへのアクセス権が付与されます。After being registered, the managed identity will be given access to the Key Vault selected during customer managed key setup. 詳しくは、マネージド ID に関する記事をご覧ください。You can learn more about Managed Identities.

重要

システム割り当てのマネージド ID を無効にすると、キー コンテナーへのアクセスは削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。If you disable system assigned managed identities, access to the key vault will be removed and any data encrypted with the customer keys will no longer be accessible. このデータに依存する機能はすべて動作しなくなります。Any features depended on this data will stop working. デプロイしたモデルもすべてデプロイ解除されます。Any models that you have deployed will also be undeployed. アップロードしたすべてのデータが、カスタム翻訳ツールから削除されます。All uploaded data will be deleted from Custom Translator. マネージド ID を再び有効にしても、モデルが自動的に再デプロイされることはありません。If the managed identities are re-enabled, we will not automatically redeploy the model for you.

重要

マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。Managed identities do not currently support cross-directory scenarios. Azure portal でカスタマー マネージド キーを構成すると、内部でマネージド ID が自動的に割り当てられます。When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned under the covers. その後、サブスクリプション、リソース グループ、またはリソースを 1 つの Azure AD ディレクトリから別のディレクトリに移動した場合、そのリソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。If you subsequently move the subscription, resource group, or resource from one Azure AD directory to another, the managed identity associated with the resource is not transferred to the new tenant, so customer-managed keys may no longer work. 詳細については、「Azure リソース用マネージド ID に関する FAQ と既知の問題」の中の「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Azure Key Vault にカスタマー マネージド キーを格納するStore customer-managed keys in Azure Key Vault

カスタマー マネージド キーを有効にするには、Azure キー コンテナーを使用してキーを格納する必要があります。To enable customer-managed keys, you must use an Azure Key Vault to store your keys. Key Vault で [論理的な削除][Do Not Purge](消去しない) の両方のプロパティを有効にする必要があります。You must enable both the Soft Delete and Do Not Purge properties on the key vault.

Cognitive Services の暗号化では、サイズが 2048 の RSA キーのみがサポートされています。Only RSA keys of size 2048 are supported with Cognitive Services encryption. キーの詳細については、「Azure Key Vault のキー、シークレット、証明書について」の「Key Vault のキー」を参照してください。For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets and certificates.

注意

キー コンテナー全体を削除すると、データは表示されなくなり、すべてのモデルがデプロイ解除されます。If the entire key vault is deleted, your data will no longer be displayed and all your models will be undeployed. アップロードしたすべてのデータが、カスタム翻訳ツールから削除されます。All uploaded data will be deleted from Custom Translator.

カスタマー マネージド キーへのアクセス権を取り消すRevoke access to customer-managed keys

カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。To revoke access to customer-managed keys, use PowerShell or Azure CLI. 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. アクセス権を取り消すと、Cognitive Services で暗号化キーにアクセスできなくなるため、Cognitive Services リソース内のすべてのデータへのアクセスが事実上ブロックされ、モデルがデプロイ解除されます。Revoking access effectively blocks access to all data in the Cognitive Services resource and your models will be undeployed, as the encryption key is inaccessible by Cognitive Services. アップロードしたすべてのデータも、カスタム翻訳ツールから削除されます。All uploaded data will also be deleted from Custom Translator.

次のステップNext steps