Шифрование неактивных данных в языковой службе
Служба языка автоматически шифрует данные при сохранении в облаке. Шифрование языковой службы защищает данные и помогает выполнять обязательства по обеспечению безопасности и соответствия организации.
Сведения о шифровании служб ИИ Azure
Шифрование и расшифровка данных выполняется с помощью 256-битного шифрования AES по стандарту FIPS 140-2. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.
Об управлении ключами шифрования
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Подпиской также можно управлять с помощью собственных ключей, которые называются ключами, управляемыми клиентом. Ключи, управляемые клиентом, обеспечивают большую гибкость при создании, смене, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.
Управляемые клиентом ключи с использованием Azure Key Vault
Подпиской также можно управлять с помощью собственных ключей. Ключи, управляемые клиентом (CMK), которые также называются ключами BYOK, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.
Для их хранения используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс служб ИИ Azure и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.
Активация управляемых клиентом ключей
Новый ресурс служб искусственного интеллекта Azure всегда шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Во время создания ресурса невозможно включить ключи, управляемые клиентом. Управляемые клиентом ключи хранятся в Azure Key Vault, и хранилище ключей должно быть подготовлено с помощью политик доступа, которые предоставляют разрешения ключа управляемому удостоверению, связанному с ресурсом служб искусственного интеллекта Azure. Управляемое удостоверение доступно только после создания ресурса с использованием ценовой категории для CMK.
Сведения об использовании ключей, управляемых клиентом, с помощью Azure Key Vault для шифрования служб ИИ Azure см. в статье:
Включение управляемых клиентом ключей также включает управляемое удостоверение, назначенное системой, функцию идентификатора Microsoft Entra. После включения управляемого удостоверения, назначенного системой, этот ресурс будет зарегистрирован в идентификаторе Microsoft Entra. После регистрации управляемому удостоверению будет предоставлен доступ к хранилищу ключей, выбранному во время настройки управляемого клиентом ключа. Можно узнать дополнительные сведения об управляемых удостоверениях.
Важно!
Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать.
Важно!
Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение назначается автоматически. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в статье "Передача подписки между каталогами Microsoft Entra в часто задаваемых вопросых и известных проблемах с управляемыми удостоверениями для ресурсов Azure".
Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault
Чтобы включить ключи, управляемые клиентом, необходимо использовать хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Обратимое удаление и Не очищать.
Только ключи RSA размера 2048 поддерживаются с шифрованием служб ИИ Azure. Дополнительные сведения о ключах Key Vault см. в статье Сведения о ключах, секретах и сертификатах Azure Key Vault.
Циклическая смена управляемых клиентом ключей
Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. При смене ключа необходимо обновить ресурс служб ИИ Azure, чтобы использовать новый URI ключа. Сведения об обновлении ресурса для использования новой версии ключа в портал Azure см. в разделе "Обновление версии ключа" в разделе "Настройка управляемых клиентом ключей для служб ИИ Azure" с помощью портал Azure.
При циклической смене ключа не запускается повторное шифрование данных ресурса. Какие-либо дополнительные действия со стороны пользователя не требуются.
Отзыв доступа к управляемым клиентом ключам
Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе служб искусственного интеллекта Azure, так как ключ шифрования недоступен службами ИИ Azure.