Taalserviceversleuteling van data-at-rest
De Language-service versleutelt uw gegevens automatisch wanneer deze worden bewaard in de cloud. De Taalserviceversleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Over Versleuteling van Azure AI-services
Gegevens worden versleuteld en ontsleuteld met FIPS 140-2-compatibele256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.
Over versleutelingssleutelbeheer
Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. Er is ook de mogelijkheid om uw abonnement te beheren met uw eigen sleutels, via zogenaamde door de klant beheerde sleutels (CMK). CMK biedt meer flexibiliteit voor het maken, roteren, uitschakelen en intrekken van toegangsbesturingselementen. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.
Door de klant beheerde sleutels met Azure Key Vault
Er is ook een optie om uw abonnement te beheren met uw eigen sleutels. Door de klant beheerde sleutels (CMK), ook wel BYOK (Bring Your Own Key) genoemd, bieden meer flexibiliteit voor het maken, draaien, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.
U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Azure AI-servicesresource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.
Door de klant beheerde sleutels inschakelen
Een nieuwe Resource voor Azure AI-services wordt altijd versleuteld met behulp van door Microsoft beheerde sleutels. Het is niet mogelijk om door de klant beheerde sleutels in te schakelen op het moment dat de resource wordt gemaakt. Door de klant beheerde sleutels worden opgeslagen in Azure Key Vault en de sleutelkluis moet worden ingericht met toegangsbeleid dat sleutelmachtigingen verleent aan de beheerde identiteit die is gekoppeld aan de Azure AI-servicesresource. De beheerde identiteit is alleen beschikbaar nadat de resource is gemaakt met behulp van de prijscategorie voor CMK.
Zie voor meer informatie over het gebruik van door de klant beheerde sleutels met Azure Key Vault voor Azure AI-servicesversleuteling:
Als u door de klant beheerde sleutels inschakelt, wordt ook een door het systeem toegewezen beheerde identiteit ingeschakeld, een functie van Microsoft Entra-id. Zodra de door het systeem toegewezen beheerde identiteit is ingeschakeld, wordt deze resource geregistreerd bij Microsoft Entra-id. Nadat de identiteit is geregistreerd, krijgt de beheerde identiteit toegang tot de Sleutelkluis die is geselecteerd tijdens het instellen van de door de klant beheerde sleutel. Meer informatie over beheerde identiteiten.
Belangrijk
Als u door het systeem toegewezen beheerde identiteiten uitschakelt, wordt de toegang tot de sleutelkluis verwijderd en zijn alle gegevens die zijn versleuteld met de klantsleutels niet meer toegankelijk. Alle functies die afhankelijk zijn van deze gegevens, werken niet meer.
Belangrijk
Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's tussen mappen. Wanneer u door de klant beheerde sleutels in Azure Portal configureert, wordt automatisch een beheerde identiteit toegewezen onder de dekkingen. Als u vervolgens het abonnement, de resourcegroep of de resource van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die aan de resource is gekoppeld, niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen in veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resources voor meer informatie.
Door de klant beheerde sleutels opslaan in Azure Key Vault
Als u door de klant beheerde sleutels wilt inschakelen, moet u een Azure Key Vault gebruiken om uw sleutels op te slaan. U moet zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis.
Alleen RSA-sleutels van grootte 2048 worden ondersteund met Azure AI-servicesversleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, geheimen en certificaten voor meer informatie over sleutels.
Door de klant beheerde sleutels draaien
U kunt een door de klant beheerde sleutel in Azure Key Vault roteren volgens uw nalevingsbeleid. Wanneer de sleutel wordt gedraaid, moet u de Azure AI-servicesresource bijwerken om de nieuwe sleutel-URI te kunnen gebruiken. Als u wilt weten hoe u de resource bijwerkt voor het gebruik van een nieuwe versie van de sleutel in Azure Portal, raadpleegt u de sectie met de titel De sleutelversie bijwerken in Door de klant beheerde sleutels voor Azure AI-services configureren met behulp van Azure Portal.
Het roteren van de sleutel activeert geen herversleuteling van gegevens in de resource. Er is geen verdere actie vereist voor de gebruiker.
Toegang tot door de klant beheerde sleutels intrekken
Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens in de Azure AI-servicesresource, omdat de versleutelingssleutel niet toegankelijk is voor Azure AI-services.