Шифрование неактивных данных службы для Персонализатора

Служба Персонализатора автоматически шифрует данные при их сохранении в облаке. Шифрование службы Персонализатора защищает данные и помогает соблюдать корпоративные обязательства по обеспечению безопасности и соответствия.

Сведения о шифровании Cognitive Services

Данные шифруются и расшифровываются с помощью fips 140-2 , совместимого с 256-БИТНЫМ шифрованием AES. Шифрование и расшифровка прозрачны, то есть Управление шифрованием и доступом осуществляется за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Кроме того, существует возможность управления подпиской с помощью собственных ключей, которые называются ключами, управляемыми клиентом (CMK). CMK обеспечивают большую гибкость при создании, повороте, отключении и отмене контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных. Если для вашей подписки настроен CMK, то предоставляется двойное шифрование, которое обеспечивает второй уровень защиты, позволяя управлять ключом шифрования с помощью Azure Key Vault.

Важно!

Ключи, управляемые клиентом, доступны только в ценовой категории E0. Чтобы запросить возможность использования ключей, управляемых клиентом, заполните и отправьте форму запроса управляемого клиентом ключа для службы Персонализатора. Для получения сведений о состоянии вашего запроса потребуется около 3–5 рабочих дней. В зависимости от загруженности вас могут поместить в очередь и утвердить, как только пространство станет доступным. После утверждения ключа, управляемого клиентом, со службой Персонализатора необходимо создать новый ресурс для Персонализатора и выбрать E0 в качестве ценовой категории. После создания ресурса для Персонализатора с ценовой категорией E0 можно использовать Azure Key Vault для настройки управляемого удостоверения.

Управляемые клиентом ключи с использованием Azure Key Vault

Для хранения ключей, управляемых клиентом, необходимо использовать Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс Cognitive Services и хранилище ключей должны находиться в одном и том же регионе и в одном клиенте Azure Active Directory (Azure AD), но могут находиться в разных подписках. Дополнительные сведения о Azure Key Vault см. в разделе что такое Azure Key Vault?.

При создании нового ресурса Cognitive Services он всегда шифруется с помощью ключей, управляемых корпорацией Майкрософт. Невозможно включить управляемые клиентом ключи на момент создания ресурса. Ключи, управляемые клиентом, хранятся в Azure Key Vault, а хранилище ключей должно быть подготовлено с политиками доступа, которые предоставляют ключевые разрешения для управляемого удостоверения, связанного с ресурсом Cognitive Services. Управляемое удостоверение доступно только после создания ресурса с использованием ценовой категории, необходимой для CMK.

Включение управляемых ключей клиентов также позволит назначить управляемое системой удостоверение, компонент Azure AD. После включения управляемого удостоверения, назначенного системой, этот ресурс будет зарегистрирован в Azure Active Directory. После регистрации управляемому удостоверению будет предоставлен доступ к Key Vault, выбранному во время настройки управляемого ключа клиента.

Важно!

При отключении управляемых удостоверений, назначенных системой, доступ к хранилищу ключей будет удален, а все данные, зашифрованные с помощью ключей клиента, станут недоступны. Все функции, зависящие от этих данных, перестанут работать.

Важно!

Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке ключей, управляемых клиентом, в портал Azure управляемое удостоверение автоматически назначается в рамках. Если впоследствии вы перемещаете подписку, группу ресурсов или ресурс из одного каталога Azure AD в другой, управляемое удостоверение, связанное с ресурсом, не передается в новый клиент, поэтому управляемые клиентом ключи могут перестать работать. Дополнительные сведения см. в статье Передача подписки между каталогами Azure AD в часто задаваемых вопросах и известных проблемах с управляемыми удостоверениями для ресурсов Azure.

Настройка Azure Key Vault

Для использования ключей, управляемых клиентом, необходимо, чтобы в хранилище ключей были установлены два свойства: обратимое удаление и не очищать. Эти свойства не включены по умолчанию, но их можно включить с помощью PowerShell или Azure CLI в новом или существующем хранилище ключей.

Важно!

Если вы не включили функции обратимого удаления и не удаляют свойства, а вы удалите ключ, вы не сможете восстановить данные в своем ресурсе службы.

Чтобы узнать, как включить эти свойства в имеющемся хранилище ключей, см. разделы Включение обратимого удаления и Включение защиты от очистки в одной из следующих статей:

С шифрованием службы хранилища Azure поддерживаются только ключи RSA размером 2048. Дополнительные сведения о ключах см. в разделе Key Vault Keys раздела о Azure Key Vault ключах, секретах и сертификатах.

Включение управляемых клиентом ключей для ресурса

Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу Cognitive Services.

  2. В колонке Параметры для Cognitive Services ресурса щелкните Шифрование. Выберите параметр управляемые ключи клиента , как показано на следующем рисунке.

    Снимок экрана, показывающий, как выбрать управляемые пользователем ключи

Укажите ключ

После включения ключей, управляемых клиентом, можно указать ключ, связываемый с ресурсом Cognitive Services.

Указание ключа в качестве URI

Чтобы указать ключ в качестве универсального кода ресурса (URI), выполните следующие действия.

  1. Чтобы найти URI ключа в портал Azure, перейдите в хранилище ключей и выберите параметр ключи . Выберите нужный ключ, а затем щелкните ключ, чтобы просмотреть его версии. Выберите версию ключа, чтобы просмотреть параметры для этой версии.

  2. Скопируйте значение поля идентификатор ключа , которое предоставляет универсальный код ресурса (URI).

    Снимок экрана, показывающий URI ключа хранилища ключей

  3. В параметрах шифрования для учетной записи хранения выберите параметр Введите URI ключа .

  4. Вставьте URI, скопированный в поле ключа URI .

    Снимок экрана, показывающий, как ввести URI ключа

  5. Укажите подписку, которая содержит хранилище ключей.

  6. Сохраните изменения.

Указание ключа из хранилища ключей

Чтобы указать ключ из хранилища ключей, сначала убедитесь, что у вас есть хранилище ключей, содержащее ключ. Чтобы указать ключ из хранилища ключей, выполните следующие действия.

  1. Выберите параметр Выбрать в Key Vault.

  2. Выберите хранилище ключей, содержащее ключ, который вы хотите использовать.

  3. Выберите ключ из хранилища ключей.

    Снимок экрана с параметром ключа, управляемого клиентом

  4. Сохраните изменения.

Обновление версии ключа

При создании новой версии ключа обновите ресурс Cognitive Services для использования новой версии. Выполните следующие действия.

  1. Перейдите к ресурсу Cognitive Services и отобразите параметры шифрования .
  2. Введите универсальный код ресурса (URI) для новой версии ключа. Кроме того, можно выбрать хранилище ключей и ключ еще раз, чтобы обновить версию.
  3. Сохраните изменения.

Использовать другой ключ

Чтобы изменить ключ, используемый для шифрования, выполните следующие действия.

  1. Перейдите к ресурсу Cognitive Services и отобразите параметры шифрования .
  2. Введите универсальный код ресурса (URI) для нового ключа. Кроме того, можно выбрать хранилище ключей и выбрать новый ключ.
  3. Сохраните изменения.

Смена ключей, управляемых клиентом

Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. При вращении ключа необходимо обновить ресурс Cognitive Services для использования нового URI ключа. Сведения о том, как обновить ресурс для использования новой версии ключа в портал Azure, см. в разделе Обновление версии ключа.

Вращение ключа не вызывает повторного шифрования данных в ресурсе. От пользователя не требуется предпринимать никаких действий.

Отозвать доступ к ключам, управляемым клиентом

Чтобы отозвать доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отзыв доступа позволяет блокировать доступ ко всем данным в Cognitive Services ресурсе, так как ключ шифрования недоступен для Cognitive Services.

Отключение ключей, управляемых клиентом

При отключении ключей, управляемых клиентом, Cognitive Services ресурс шифруется с помощью ключей, управляемых корпорацией Майкрософт. Чтобы отключить управляемые клиентом ключи, выполните следующие действия.

  1. Перейдите к ресурсу Cognitive Services и отобразите параметры шифрования .
  2. Снимите флажок рядом с параметром использовать собственный ключ .

Дальнейшие действия