Bekleyen verilerin dil hizmeti şifrelemesi
Dil hizmeti, bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifreler. Dil hizmeti şifrelemesi verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.
Azure AI hizmetleri şifrelemesi hakkında
FiPS 140-2 uyumlu 256 bit AES şifrelemesi kullanılarak veriler şifrelenir ve şifresi çözülür. Şifreleme ve şifre çözme saydamdır, yani şifreleme ve erişim sizin için yönetilir. Verileriniz varsayılan olarak koruma altındadır ve şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmenize gerek yoktur.
Şifreleme anahtarı yönetimi hakkında
Aboneliğiniz varsayılan olarak Microsoft tarafından yönetilen şifreleme anahtarlarını kullanır. Ayrıca, müşteri tarafından yönetilen anahtarlar (CMK) olarak adlandırılan kendi anahtarlarınızı kullanarak da aboneliğinizi yönetme seçeneğiniz vardır. CMK, erişim denetimlerini oluşturmak, döndürmek, devre dışı bırakmak ve iptal etmek için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.
Azure Key Vault ile müşteri tarafından yönetilen anahtarlar
Ayrıca aboneliğinizi kendi anahtarlarınızla yönetme seçeneği de vardır. Kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarlar (CMK), erişim denetimlerini oluşturmak, döndürmek, devre dışı bırakmak ve iptal etmek için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.
Müşteri tarafından yönetilen anahtarlarınızı depolamak için Azure Key Vault’u kullanmanız gerekir. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'lerini kullanabilirsiniz. Azure AI hizmetleri kaynağı ve anahtar kasası aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?.
Müşteri tarafından yönetilen anahtarı etkinleştirme
Yeni bir Azure AI hizmetleri kaynağı, Microsoft tarafından yönetilen anahtarlar kullanılarak her zaman şifrelenir. Kaynağın oluşturulduğu sırada müşteri tarafından yönetilen anahtarları etkinleştirmek mümkün değildir. Müşteri tarafından yönetilen anahtarlar Azure Key Vault'ta depolanır ve anahtar kasasının Azure AI hizmetleri kaynağıyla ilişkili yönetilen kimliğe anahtar izinleri veren erişim ilkeleriyle sağlanması gerekir. Yönetilen kimlik, yalnızca kaynak CMK için Fiyatlandırma Katmanı kullanılarak oluşturulduktan sonra kullanılabilir.
Azure AI hizmetleri şifrelemesi için Azure Key Vault ile müşteri tarafından yönetilen anahtarları kullanmayı öğrenmek için bkz:
Müşteri tarafından yönetilen anahtarların etkinleştirilmesi, Microsoft Entra Id'nin bir özelliği olan sistem tarafından atanan yönetilen kimliği de etkinleştirir. Sistem tarafından atanan yönetilen kimlik etkinleştirildikten sonra bu kaynak Microsoft Entra Id ile kaydedilir. Kaydedildikten sonra, yönetilen kimliğe müşteri tarafından yönetilen anahtar kurulumu sırasında seçilen Key Vault'a erişim verilir. Yönetilen Kimlikler hakkında daha fazla bilgi edinebilirsiniz.
Önemli
Sistem tarafından atanan yönetilen kimlikleri devre dışı bırakırsanız anahtar kasasına erişim kaldırılır ve müşteri anahtarlarıyla şifrelenen verilere artık erişilemez. Bu verilere bağlı tüm özellikler çalışmayı durdurur.
Önemli
Yönetilen kimlikler şu anda dizinler arası senaryoları desteklememektedir. Azure portalında müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altında otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya kaynağı bir Microsoft Entra dizininden diğerine taşırsanız, kaynakla ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. SSS'de Microsoft Entra dizinleri arasında abonelik aktarma ve Azure kaynakları için yönetilen kimliklerle ilgili bilinen sorunlar.
Müşteri tarafından yönetilen anahtarları Azure Key Vault'ta depolama
Müşteri tarafından yönetilen anahtarları etkinleştirmek için anahtarlarınızı depolamak için bir Azure Key Vault kullanmanız gerekir. Anahtar kasasında Hem Geçici Silme hem de Temizleme özelliklerini etkinleştirmeniz gerekir.
Azure AI hizmetleri şifrelemesi ile yalnızca 2048 boyutunda RSA anahtarları desteklenir. Anahtarlar hakkında daha fazla bilgi için Bkz. Azure Key Vault anahtarları, gizli dizileri ve sertifikaları hakkında bölümünde Key Vault anahtarları.
Müşteri tarafından yönetilen anahtarları döndürme
Azure Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtar döndürüldüğünde Azure AI hizmetleri kaynağını yeni anahtar URI'sini kullanacak şekilde güncelleştirmeniz gerekir. Azure portalında anahtarın yeni bir sürümünü kullanmak üzere kaynağı güncelleştirme hakkında bilgi edinmek için Azure portalını kullanarak Azure yapay zeka hizmetleri için müşteri tarafından yönetilen anahtarları yapılandırma başlığı altında Anahtar sürümünü güncelleştirme başlıklı bölüme bakın.
Anahtarı döndürmek, kaynaktaki verilerin yeniden şifrelenmesini tetiklemez. Kullanıcıdan başka eylem gerekmez.
Müşteri tarafından yönetilen anahtarlara erişimi iptal etme
Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın. Daha fazla bilgi için bkz . Azure Key Vault PowerShell veya Azure Key Vault CLI. Şifreleme anahtarına Azure AI hizmetleri tarafından erişilemediği için erişimi iptal etmek Azure AI hizmetleri kaynağındaki tüm verilere erişimi etkili bir şekilde engeller.