Language Understanding-tjänstkryptering av vilande data
Viktigt!
LUIS dras tillbaka den 1 oktober 2025 och från och med den 1 april 2023 kommer du inte att kunna skapa nya LUIS-resurser. Vi rekommenderar att du migrerar dina LUIS-program till förståelse för konversationsspråk för att dra nytta av fortsatt produktsupport och flerspråkiga funktioner.
Tjänsten Language Understanding krypterar automatiskt dina data när de sparas i molnet. Language Understanding-tjänstens kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden.
Om Azure AI-tjänstkryptering
Data krypteras och dekrypteras med FIPS 140-2-kompatibel256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data skyddas som standard och du behöver inte ändra din kod eller dina program för att utnyttja krypteringen.
Om hantering av krypteringsnycklar
Som standard använder din prenumeration krypteringsnycklar som hanteras av Microsoft. Det finns också möjlighet att hantera din prenumeration med dina egna nycklar som kallas kundhanterade nycklar (CMK:er). CMK:er ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Kundhanterade nycklar med Azure Key Vault
Det finns också ett alternativ för att hantera din prenumeration med dina egna nycklar. Kundhanterade nycklar (CMK) kallas även för BYOK (Bring Your Own Key) och ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Du måste använda Azure Key Vault till att lagra dina kundhanterade nycklar. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda Azure Key Vault-API:erna för att generera nycklar. Azure AI-tjänstresursen och nyckelvalvet måste finnas i samma region och i samma Microsoft Entra-klientorganisation, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?.
Begränsningar
Det finns vissa begränsningar när du använder E0-nivån med befintliga/tidigare skapade program:
- Migrering till en E0-resurs kommer att blockeras. Användarna kan bara migrera sina appar till F0-resurser. När du har migrerat en befintlig resurs till F0 kan du skapa en ny resurs på E0-nivån.
- Om du flyttar program till eller från en E0-resurs blockeras. En lösning för den här begränsningen är att exportera ditt befintliga program och importera det som en E0-resurs.
- Funktionen stavningskontroll i Bing stöds inte.
- Loggning av slutanvändartrafik inaktiveras om ditt program är E0.
- Funktionen Speech priming från Azure AI Bot Service stöds inte för program på E0-nivån. Den här funktionen är tillgänglig via Azure AI Bot Service, som inte stöder CMK.
- Funktionen för talprimering från portalen kräver Azure Blob Storage. Mer information finns i Ta med din egen lagring.
Aktivera kundhanterade nycklar
En ny Azure AI-tjänstresurs krypteras alltid med hjälp av Microsoft-hanterade nycklar. Det går inte att aktivera kundhanterade nycklar när resursen skapas. Kundhanterade nycklar lagras i Azure Key Vault och nyckelvalvet måste etableras med åtkomstprinciper som beviljar nyckelbehörigheter till den hanterade identitet som är associerad med Azure AI-tjänstresursen. Den hanterade identiteten är endast tillgänglig när resursen har skapats med hjälp av prisnivån för CMK.
Information om hur du använder kundhanterade nycklar med Azure Key Vault för Azure AI-tjänstkryptering finns i:
Om du aktiverar kundhanterade nycklar aktiveras även en systemtilldelad hanterad identitet, en funktion i Microsoft Entra-ID. När den systemtilldelade hanterade identiteten har aktiverats registreras den här resursen med Microsoft Entra-ID. När den hanterade identiteten har registrerats får den åtkomst till nyckelvalvet som valts under konfigurationen av kundhanterad nyckel. Du kan lära dig mer om hanterade identiteter.
Viktigt!
Om du inaktiverar systemtilldelade hanterade identiteter tas åtkomsten till nyckelvalvet bort och alla data som krypteras med kundnycklarna kommer inte längre att vara tillgängliga. Alla funktioner som är beroende av dessa data slutar fungera.
Viktigt!
Hanterade identiteter stöder för närvarande inte scenarier mellan kataloger. När du konfigurerar kundhanterade nycklar i Azure-portalen tilldelas en hanterad identitet automatiskt under täcket. Om du senare flyttar prenumerationen, resursgruppen eller resursen från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med resursen till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger i vanliga frågor och svar och kända problem med hanterade identiteter för Azure-resurser.
Lagra kundhanterade nycklar i Azure Key Vault
Om du vill aktivera kundhanterade nycklar måste du använda ett Azure Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk borttagning och Rensa inte i nyckelvalvet.
Endast RSA-nycklar av storlek 2048 stöds med Azure AI-tjänstkryptering. Mer information om nycklar finns i Key Vault-nycklar i Om Azure Key Vault-nycklar, hemligheter och certifikat.
Rotera kundhanterade nycklar
Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. När nyckeln roteras måste du uppdatera Azure AI-tjänstresursen för att använda den nya nyckel-URI:n. Information om hur du uppdaterar resursen för att använda en ny version av nyckeln i Azure-portalen finns i avsnittet Uppdatera nyckelversionen i Konfigurera kundhanterade nycklar för Azure AI-tjänster med hjälp av Azure-portalen.
Om du roterar nyckeln utlöses inte omkryptering av data i resursen. Det krävs ingen ytterligare åtgärd från användaren.
Återkalla åtkomst till kundhanterade nycklar
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om åtkomst återkallas blockeras åtkomsten till alla data i Azure AI-tjänstresursen eftersom krypteringsnyckeln inte är tillgänglig för Azure AI-tjänster.