Versleuteling van data-at-rest met aangepaste opdrachten

Belangrijk

Aangepaste opdrachten worden op 30 april 2026 buiten gebruik gesteld. Vanaf 30 oktober 2023 kunt u geen nieuwe toepassingen voor aangepaste opdrachten maken in Speech Studio. Met betrekking tot deze wijziging wordt LUIS op 1 oktober 2025 buiten gebruik gesteld. Vanaf 1 april 2023 kunt u geen nieuwe LUIS-resources maken.

Met aangepaste opdrachten worden uw gegevens automatisch versleuteld wanneer deze worden bewaard in de cloud. De custom commands-serviceversleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.

Notitie

De custom Commands-service schakelt niet automatisch versleuteling in voor de LUIS-resources die aan uw toepassing zijn gekoppeld. Indien nodig moet u hier versleuteling voor uw LUIS-resource inschakelen.

Over Versleuteling van Azure AI-services

Gegevens worden versleuteld en ontsleuteld met FIPS 140-2-compatibele256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.

Over versleutelingssleutelbeheer

Wanneer u aangepaste opdrachten gebruikt, worden de volgende gegevens opgeslagen in de cloud:

• JSON configureren achter de toepassing Aangepaste opdrachten
• LUIS-ontwerp- en voorspellingssleutel

Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. U kunt uw abonnement echter ook beheren met uw eigen versleutelingssleutels. Door de klant beheerde sleutels (CMK), ook wel bekend als BYOK (Bring Your Own Key), bieden meer flexibiliteit bij het maken, roteren, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.

Belangrijk

Door de klant beheerde sleutels zijn alleen beschikbare resources die zijn gemaakt na 27 juni 2020. Als u CMK wilt gebruiken met de Speech-service, moet u een nieuwe Speech-resource maken. Zodra de resource is gemaakt, kunt u Azure Key Vault gebruiken om uw beheerde identiteit in te stellen.

Als u de mogelijkheid wilt aanvragen om door de klant beheerde sleutels te gebruiken, vult u het aanvraagformulier voor door de klant beheerde sleutel in en verzendt u dit. Het duurt ongeveer 3-5 werkdagen om terug te horen over de status van uw aanvraag. Afhankelijk van de vraag wordt u mogelijk in een wachtrij geplaatst en goedgekeurd wanneer er ruimte beschikbaar is. Zodra deze is goedgekeurd voor het gebruik van CMK met de Speech-service, moet u een nieuwe Spraak-resource maken vanuit Azure Portal.

Notitie

Door de klant beheerde sleutels (CMK) worden alleen ondersteund voor aangepaste opdrachten.

Aangepaste spraak en aangepaste spraak ondersteunen nog steeds alleen Bring Your Own Storage (BYOS).Meer informatie

Als u de opgegeven spraakresource gebruikt voor toegang tot deze service, moet aan nalevingsbehoeften worden voldaan door BYOS expliciet te configureren.

Door de klant beheerde sleutels met Azure Key Vault

U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Spraak-resource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Wanneer een nieuwe Spraak-resource wordt gemaakt en gebruikt voor het inrichten van toepassingen voor aangepaste opdrachten, worden gegevens altijd versleuteld met door Microsoft beheerde sleutels. Het is niet mogelijk om door de klant beheerde sleutels in te schakelen op het moment dat de resource wordt gemaakt. Door de klant beheerde sleutels worden opgeslagen in Azure Key Vault en de sleutelkluis moet worden ingericht met toegangsbeleid dat sleutelmachtigingen verleent aan de beheerde identiteit die is gekoppeld aan de Azure AI-servicesresource. De beheerde identiteit is alleen beschikbaar nadat de resource is gemaakt met behulp van de prijscategorie die is vereist voor CMK.

Als u door de klant beheerde sleutels inschakelt, wordt ook een door het systeem toegewezen beheerde identiteit, een functie van Microsoft Entra-id ingeschakeld. Zodra de door het systeem toegewezen beheerde identiteit is ingeschakeld, wordt deze resource geregistreerd bij Microsoft Entra-id. Nadat de identiteit is geregistreerd, krijgt de beheerde identiteit toegang tot de Sleutelkluis die is geselecteerd tijdens het instellen van de door de klant beheerde sleutel.

Belangrijk

Als u door het systeem toegewezen beheerde identiteiten uitschakelt, wordt de toegang tot de sleutelkluis verwijderd en zijn alle gegevens die zijn versleuteld met de klantsleutels niet meer toegankelijk. Alle functies die afhankelijk zijn van deze gegevens, werken niet meer.

Belangrijk

Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's tussen mappen. Wanneer u door de klant beheerde sleutels in Azure Portal configureert, wordt automatisch een beheerde identiteit toegewezen onder de dekkingen. Als u vervolgens het abonnement, de resourcegroep of de resource van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die aan de resource is gekoppeld, niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen in veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resources voor meer informatie.

Azure Key Vault configureren

Als u door de klant beheerde sleutels gebruikt, moet u twee eigenschappen instellen in de sleutelkluis, Voorlopig verwijderen en Niet leegmaken. Deze eigenschappen zijn niet standaard ingeschakeld, maar kunnen worden ingeschakeld met behulp van PowerShell of Azure CLI in een nieuwe of bestaande sleutelkluis.

Belangrijk

Als u de eigenschappen Voorlopig verwijderen en Niet leegmaken hebt ingeschakeld en u uw sleutel verwijdert, kunt u de gegevens in uw Azure AI-servicesresource niet herstellen.

Voor meer informatie over het inschakelen van deze eigenschappen voor een bestaande sleutelkluis raadpleegt u de secties Voorlopig verwijderen inschakelen en Beveiliging tegen leegmaken inschakelen in een van de volgende artikelen:

• Voorlopig verwijderen gebruiken met PowerShell.
• Voorlopig verwijderen gebruiken met CLI.

Alleen RSA-sleutels van grootte 2048 worden ondersteund met Azure Storage-versleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, geheimen en certificaten voor meer informatie over sleutels.

Door de klant beheerde sleutels inschakelen voor uw Spraak-resource

Voer de volgende stappen uit om door de klant beheerde sleutels in te schakelen in Azure Portal:

1. Navigeer naar uw Spraak-resource.
2. Selecteer Versleuteling op de pagina Instellingen voor uw spraakresource. Selecteer de optie Door klant beheerde sleutels , zoals wordt weergegeven in de volgende afbeelding.

Een sleutel opgeven

Nadat u door de klant beheerde sleutels hebt ingeschakeld, hebt u de mogelijkheid om een sleutel op te geven die moet worden gekoppeld aan de Azure AI-servicesresource.

Een sleutel opgeven als een URI

Voer de volgende stappen uit om een sleutel op te geven als een URI:

1. Als u de sleutel-URI in Azure Portal wilt vinden, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels . Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

2. Kopieer de waarde van het veld Sleutel-id , die de URI levert.

   

3. Kies in de versleutelingsinstellingen voor uw Speech-service de optie Enter-sleutel-URI .

4. Plak de URI die u in het veld Sleutel-URI hebt gekopieerd.

5. Geef het abonnement op dat de sleutelkluis bevat.

6. Sla uw wijzigingen op.

Een sleutel opgeven uit een sleutelkluis

Als u een sleutel uit een sleutelkluis wilt opgeven, moet u eerst een sleutelkluis met een sleutel hebben. Als u een sleutel uit een sleutelkluis wilt opgeven, voert u de volgende stappen uit:

1. Kies de optie Selecteren uit Key Vault .

2. Selecteer de sleutelkluis met de sleutel die u wilt gebruiken.

3. Selecteer de sleutel in de sleutelkluis.

   

4. Sla uw wijzigingen op.

De sleutelversie bijwerken

Wanneer u een nieuwe versie van een sleutel maakt, werkt u de Speech-resource bij om de nieuwe versie te gebruiken. Volg vervolgens deze stappen:

1. Navigeer naar uw Spraak-resource en geef de versleutelingsinstellingen weer.
2. Voer de URI in voor de nieuwe sleutelversie. U kunt ook de sleutelkluis en de sleutel opnieuw selecteren om de versie bij te werken.
3. Sla uw wijzigingen op.

Een andere sleutel gebruiken

Voer de volgende stappen uit om de sleutel te wijzigen die wordt gebruikt voor versleuteling:

1. Navigeer naar uw Spraak-resource en geef de versleutelingsinstellingen weer.
2. Voer de URI voor de nieuwe sleutel in. U kunt ook de sleutelkluis selecteren en een nieuwe sleutel kiezen.
3. Sla uw wijzigingen op.

Door de klant beheerde sleutels draaien

U kunt een door de klant beheerde sleutel in Azure Key Vault roteren volgens uw nalevingsbeleid. Wanneer de sleutel wordt gedraaid, moet u de Spraak-resource bijwerken om de nieuwe sleutel-URI te kunnen gebruiken. Zie De sleutelversie bijwerken voor meer informatie over het bijwerken van de resource voor het gebruik van een nieuwe versie van de sleutel in Azure Portal.

Als u de sleutel roteert, wordt herversleuteling van gegevens in de resource niet geactiveerd. Er is geen verdere actie vereist voor de gebruiker.

Toegang tot door de klant beheerde sleutels intrekken

Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens in de Azure AI-servicesresource, omdat de versleutelingssleutel niet toegankelijk is voor Azure AI-services.

Door de klant beheerde sleutels uitschakelen

Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw Spraak-resource vervolgens versleuteld met door Microsoft beheerde sleutels. Voer de volgende stappen uit om door de klant beheerde sleutels uit te schakelen:

1. Navigeer naar uw Spraak-resource en geef de versleutelingsinstellingen weer.
2. Schakel het selectievakje naast de instelling Uw eigen sleutel gebruiken uit.

Volgende stappen

• Aanvraagformulier voor door de klant beheerde sleutel voor spraak
• Meer informatie over Azure Key Vault
• Wat zijn beheerde identiteiten?