Azure Key Vault içindeki müşteri tarafından yönetilen anahtarları kullanarak Azure Bilişsel Arama içeriğin geri kalanında şifrelemeEncryption-at-rest of content in Azure Cognitive Search using customer-managed keys in Azure Key Vault

Önemli

Rest 'ten şifreleme desteği şu anda genel önizlemededir.Support for encryption-at-rest is currently in public preview. Önizleme işlevselliği, bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez.Preview functionality is provided without a service level agreement, and is not recommended for production workloads. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.For more information, see Supplemental Terms of Use for Microsoft Azure Previews. REST API sürüm 2019-05-06-önizleme ve .net SDK sürüm 8,0-Önizleme bu özelliği sağlar.The REST API version 2019-05-06-Preview and .NET SDK version 8.0-preview provides this feature. Şu anda portal desteği yok.There is currently no portal support.

Azure Bilişsel Arama, varsayılan olarak, hizmet tarafından yönetilen anahtarlarlabekleyen Kullanıcı içeriğini şifreler.By default, Azure Cognitive Search encrypts user content at rest with service-managed keys. Azure Key Vault içinde oluşturduğunuz ve yönettiğiniz anahtarları kullanarak, varsayılan şifrelemeyi ek bir şifreleme katmanıyla birlikte destekleyebilirsiniz.You can supplement default encryption with an additional encryption layer using keys that you create and manage in Azure Key Vault. Bu makalede adımlarda adım adım açıklanmaktadır.This article walks you through the steps.

Sunucu tarafı şifreleme, Azure Key Vaulttümleştirme aracılığıyla desteklenir.Server-side encryption is supported through integration with Azure Key Vault. Kendi şifreleme anahtarlarınızı oluşturabilir ve bunları bir anahtar kasasında saklayabilir veya şifreleme anahtarları oluşturmak için Azure Key Vault API 'Lerini kullanabilirsiniz.You can create your own encryption keys and store them in a key vault, or you can use Azure Key Vault's APIs to generate encryption keys. Azure Key Vault, anahtar kullanımını da denetleyebilirsiniz.With Azure Key Vault, you can also audit key usage.

Müşteri tarafından yönetilen anahtarlarla şifreleme, bu nesneler oluşturulduğunda, arama hizmeti düzeyinde değil, dizin veya eş anlamlı eşleme düzeyinde yapılandırılır.Encryption with customer-managed keys is configured at the index or synonym map level when those objects are created, and not on the search service level. Zaten var olan içeriği şifrelenemez.You cannot encrypt content that already exists.

Farklı anahtar kasalarından farklı anahtarlar kullanabilirsiniz.You can use different keys from different Key vaults. Bu, tek bir arama hizmetinin birden çok şifrelenmiş ındexes\eş anlamlı haritalarını barındırabileceği anlamına gelir. Bu, her şifrelenmiş, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenmeyen ındexes\eş anlamlı eşlemlerle birlikte, her biri bir müşteri tarafından yönetilen farklıThis means a single search service can host multiple encrypted indexes\synonym maps, each encrypted potentially using a different customer-managed key, alongside indexes\synonym maps that are not encrypted using customer-managed keys.

ÖnkoşullarPrerequisites

Aşağıdaki hizmetler bu örnekte kullanılır.The following services are used in this example.

1-anahtar kurtarmayı etkinleştir1 - Enable key recovery

Bu adım isteğe bağlıdır, ancak önemle önerilir.This step is optional but highly recommended. Azure Key Vault kaynağını oluşturduktan sonra, aşağıdaki PowerShell veya Azure CLı komutlarını yürüterek seçili anahtar kasasında geçici silme ve Temizleme korumasını etkinleştirin:After creating the Azure Key Vault resource, enable Soft Delete and Purge Protection in the selected Key vault by executing the following PowerShell or Azure CLI commands:

$resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "<vault_name>").ResourceId

$resource.Properties | Add-Member -MemberType NoteProperty -Name "enableSoftDelete" -Value 'true'

$resource.Properties | Add-Member -MemberType NoteProperty -Name "enablePurgeProtection" -Value 'true'

Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
az keyvault update -n <vault_name> -g <resource_group> --enable-soft-delete --enable-purge-protection

Not

Müşteri tarafından yönetilen anahtarlarla şifrelemenin çok doğası nedeniyle, Azure Anahtar Kasası anahtarınız silinirse Azure Bilişsel Arama verilerinizi alamaz.Due to the very nature of the encryption with customer-managed keys feature, Azure Cognitive Search will not be able to retrieve your data if your Azure Key vault key is deleted. Yanlışlıkla Key Vault anahtar silmeleri nedeniyle oluşan veri kaybını engellemek için, seçili anahtar kasasında geçici silme ve Temizleme korumasını etkinleştirmeniz önemle önerilir.To prevent data loss caused by accidental Key Vault key deletions, it is highly recommended that you enable Soft Delete and Purge Protection on the selected key vault. Daha fazla bilgi için bkz. Azure Key Vault geçici silme.For more information, see Azure Key Vault soft-delete.

2-yeni bir anahtar oluşturma2 - Create a new key

Azure Bilişsel Arama içeriğini şifrelemek için mevcut bir anahtar kullanıyorsanız, bu adımı atlayın.If you are using an existing key to encrypt Azure Cognitive Search content, skip this step.

  1. Azure Portal oturum açın ve Anahtar Kasası panosuna gidin.Sign in to Azure portal and navigate to the key vault dashboard.

  2. Sol gezinti bölmesinden anahtarlar ayarını seçin ve + Oluştur/içeri aktar' a tıklayın.Select the Keys setting from the left navigation pane, and click + Generate/Import.

  3. Anahtar oluştur bölmesinde, Seçeneklerlistesinden, anahtar oluşturmak için kullanmak istediğiniz yöntemi seçin.In the Create a key pane, from the list of Options, choose the method that you want to use to create a key. Yeni bir anahtar oluşturabilir , var olan bir anahtarı yükleyebilir veya bir anahtarın yedeğini seçmek için yedekleme geri yükleme ' yi kullanabilirsiniz.You can Generate a new key, Upload an existing key, or use Restore Backup to select a backup of a key.

  4. Anahtarınız için bir ad girin ve isteğe bağlı olarak diğer anahtar özelliklerini seçin.Enter a Name for your key, and optionally select other key properties.

  5. Dağıtımı başlatmak için Oluştur düğmesine tıklayın.Click on the Create button to start the deployment.

Anahtar tanımlayıcısını bir yere unutmayın: Bu, anahtar değer URI 'si, anahtar adıve anahtar sürümündenoluşur.Make a note of the Key Identifier – this is composed from the key value Uri, the key name, and the key version. Azure Bilişsel Arama 'de şifrelenmiş bir dizin tanımlamanız için bunlara ihtiyacınız olacaktır.You will need these to define an encrypted index in Azure Cognitive Search.

Yeni bir anahtar kasası anahtarı oluşturCreate a new key vault key

3-hizmet kimliği oluşturma3 - Create a service identity

Arama hizmetinize bir kimlik atamak, arama hizmetinize Key Vault erişim izni vermenizi sağlar.Assigning an identity to your search service enables you to grant Key Vault access permissions to your search service. Arama hizmetiniz, Azure Anahtar Kasası 'nda kimlik doğrulaması yapmak için kimliğini kullanacaktır.Your search service will use its identity to authenticate with Azure Key vault.

Azure Bilişsel Arama, kimlik atamanın iki yolunu destekler: yönetilen bir kimlik veya dışarıdan yönetilen bir Azure Active Directory uygulaması.Azure Cognitive Search supports two ways for assigning identity: a managed identity or an externally-managed Azure Active Directory application.

Mümkünse, yönetilen bir kimlik kullanın.If possible, use a managed identity. Bu, arama hizmetinize bir kimlik atamanın en kolay yoludur ve çoğu senaryoda çalışır.It is the simplest way of assigning an identity to your search service and should work in most scenarios. Dizinler ve eş anlamlı haritalar için birden çok anahtar kullanıyorsanız veya çözümünüz kimlik tabanlı kimlik doğrulamasını niteleyen dağıtılmış bir mimaride ise, sonda açıklanan Gelişmiş dışarıdan yönetilen Azure Active Directory yaklaşımını kullanın makalesini inceleyin.If you are using multiple keys for indexes and synonym maps, or if your solution is in a distributed architecture that disqualifies identity-based authentication, use the advanced externally-managed Azure Active Directory approach described at the end of this article.

Genel olarak, yönetilen bir kimlik, arama hizmetinizin kimlik bilgilerini kodda depolamadan Azure Key Vault kimlik doğrulaması yapmasına olanak sağlar.In general, a managed identity enables your search service to authenticate to Azure Key Vault without storing credentials in code. Bu tür yönetilen kimliğin yaşam döngüsü, yalnızca tek bir yönetilen kimliğe sahip olabilen arama hizmetinizin yaşam döngüsüne bağlıdır.The lifecycle of this type of managed identity is tied to the lifecycle of your search service, which can only have one managed identity. Yönetilen kimlikler hakkında daha fazla bilgi edinin.Learn more about Managed identities.

  1. Yönetilen bir kimlik oluşturmak için Azure portalında oturum açın ve arama hizmeti panonuzu açın.To create a managed identity, sign in toAzure portal and open your search service dashboard.

  2. Sol gezinti bölmesindeki kimlik ' e tıklayın, durumunu Açıkolarak değiştirin ve Kaydet' e tıklayın.Click Identity in the left navigation pane, change its status to On, and click Save.

Yönetilen bir kimliği etkinleştirmeEnable a managed identity

4-anahtar erişim izinleri verme4 - Grant key access permissions

Arama hizmetinizin Key Vault anahtarınızı kullanmasını sağlamak için, arama hizmetinize belirli erişim izinlerini vermeniz gerekir.To enable your search service to use your Key Vault key, you'll need to grant your search service certain access permissions.

Erişim izinleri belirli bir zamanda iptal edilebilir.Access permissions could be revoked at any given time. Bu Anahtar Kasası 'nı kullanan herhangi bir arama hizmeti dizini veya eş anlamlı eşleme, iptal edildikten sonra kullanılamaz hale gelir.Once revoked, any search service index or synonym map that uses that key vault will become unusable. Anahtar Kasası erişim izinlerinin daha sonraki bir zamanda geri yüklenmesi, Dizin \ eş anlamlı eşleme erişimini geri yükler.Restoring Key vault access permissions at a later time will restore index\synonym map access. Daha fazla bilgi için bkz. bir anahtar kasasına güvenli erişim.For more information, see Secure access to a key vault.

  1. Azure Portal oturum açın ve Anahtar Kasası genel bakış sayfasını açın.Sign in to Azure portal and open your key vault overview page.

  2. Sol gezinti bölmesinden erişim ilkeleri ayarını seçin ve + Yeni Ekle' ye tıklayın.Select the Access policies setting from the left navigation pane, and click +Add new.

    Yeni Anahtar Kasası erişim ilkesi EkleAdd new key vault access policy

  3. Sorumlu Seç ' e tıklayın ve Azure bilişsel arama hizmetinizi seçin.Click Select principal and select your Azure Cognitive Search service. Yönetilen kimliği etkinleştirdikten sonra adı veya görüntülenen nesne KIMLIĞINE göre arama yapabilirsiniz.You can search for it by name or by the object ID that was displayed after enabling managed identity.

    Anahtar Kasası erişim ilkesi sorumlusunu seçinSelect key vault access policy principal

  4. Anahtar izinleri ' ne tıklayın ve Al, sarmalama tuşu ve sarmalamaanahtarı ' nı seçin.Click on Key permissions and select Get, Unwrap Key and Wrap Key. Gerekli izinleri hızlıca seçmek için Azure Data Lake Storage veya Azure depolama şablonunu kullanabilirsiniz.You can use the Azure Data Lake Storage or Azure Storage template to quickly select the required permissions.

    Azure Bilişsel Arama aşağıdaki erişim izinleriyleverilmelidir:Azure Cognitive Search must be granted with the following access permissions:

    • Get -arama hizmetinizin Key Vault anahtarınızın ortak parçalarını almasına izin verirGet - allows your search service to retrieve the public parts of your key in a Key Vault
    • Anahtar Sarla -arama hizmetinizin iç şifreleme anahtarını korumak için anahtarınızı kullanmasına izin verirWrap Key - allows your search service to use your key to protect the internal encryption key
    • Anahtar sarmalaması geri al -arama hizmetinizin iç şifreleme anahtarını sarmalamak için anahtarınızı kullanmasına izin verirUnwrap Key - allows your search service to use your key to unwrap the internal encryption key

    Anahtar Kasası erişim ilkesi anahtar izinlerini seçinSelect key vault access policy key permissions

  5. Tamam ' a tıklayın ve erişim Ilkesi değişikliklerini kaydedin .Click OK and Save the access policy changes.

Önemli

Azure Bilişsel Arama şifrelenmiş içerik, belirli bir sürümesahip belirli bir Azure Key Vault anahtarı kullanacak şekilde yapılandırılmıştır.Encrypted content in Azure Cognitive Search is configured to use a specific Azure Key Vault key with a specific version. Anahtarı veya sürümü değiştirirseniz, önceki key\version. silinmeden önce dizin veya eş anlamlı haritanın yeni key\version kullanacak şekilde güncellenmesi gerekirIf you change the key or version, the index or synonym map must be updated to use the new key\version before deleting the previous key\version. Bunun başarısız olması, anahtar erişimi kaybolduktan sonra içeriğin şifresini çözemeyecek şekilde dizin veya eş anlamlı haritanın kullanılamamasına neden olur.Failing to do so will render the index or synonym map unusable, at you won't be able to decrypt the content once key access is lost.

5-içerik şifreleyin5 - Encrypt content

Müşteri tarafından yönetilen anahtarla şifrelenen bir dizin veya eş anlamlı eşleme oluşturmak, Azure portal kullanılarak henüz mümkün değildir.Creating an index or synonym map encrypted with customer-managed key is not yet possible using Azure portal. Bu tür bir dizin veya eş anlamlı eşleme oluşturmak için Azure Bilişsel Arama REST API kullanın.Use Azure Cognitive Search REST API to create such an index or synonym map.

Hem dizin hem de eş anlamlı eşleme, anahtarı belirtmek için kullanılan yeni bir üst düzey encryptionKey özelliğini destekler.Both index and synonym map support a new top-level encryptionKey property used to specify the key.

Anahtar Kasası URI'sini, anahtar adını ve Anahtar Kasası anahtarınızın anahtar sürümünü kullanarak bir encryptionKey tanımı oluşturuyoruz:Using the key vault Uri, key name and the key version of your Key vault key, we can create an encryptionKey definition:

{
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
  }
}

Not

Bu Anahtar Kasası ayrıntılarının hiçbiri gizli kabul edilmez ve Azure portal ' deki ilgili Azure Key Vault anahtarı sayfasına göz atarak kolayca alınabilir.None of these key vault details are considered secret and could be easily retrieved by browsing to the relevant Azure Key Vault key page in Azure portal.

Yönetilen bir kimlik kullanmak yerine Key Vault kimlik doğrulaması için AAD uygulaması kullanıyorsanız, şifreleme anahtarınıza AAD uygulama erişimi kimlik bilgilerini ekleyin:If you are using an AAD application for Key Vault authentication instead of using a managed identity, add the AAD application access credentials to your encryption key:

{
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Örnek: Dizin şifrelemeExample: Index encryption

Burada tek fark, Dizin tanımının bir parçası olarak şifreleme anahtarı ayrıntılarını belirtirken, REST API aracılığıyla yeni dizin oluşturma ayrıntıları (Azure Bilişsel Arama REST API)bulunabilir.The details of creating a new index via the REST API could be found at Create Index (Azure Cognitive Search REST API), where the only difference here is specifying the encryption key details as part of the index definition:

{
 "name": "hotels",  
 "fields": [
  {"name": "HotelId", "type": "Edm.String", "key": true, "filterable": true},
  {"name": "HotelName", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": true, "facetable": false},
  {"name": "Description", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "en.lucene"},
  {"name": "Description_fr", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "fr.lucene"},
  {"name": "Category", "type": "Edm.String", "searchable": true, "filterable": true, "sortable": true, "facetable": true},
  {"name": "Tags", "type": "Collection(Edm.String)", "searchable": true, "filterable": true, "sortable": false, "facetable": true},
  {"name": "ParkingIncluded", "type": "Edm.Boolean", "filterable": true, "sortable": true, "facetable": true},
  {"name": "LastRenovationDate", "type": "Edm.DateTimeOffset", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Rating", "type": "Edm.Double", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Location", "type": "Edm.GeographyPoint", "filterable": true, "sortable": true},
 ],
 "encryptionKey": {
   "keyVaultUri": "https://demokeyvault.vault.azure.net",
   "keyVaultKeyName": "myEncryptionKey",
   "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
 }
}

Artık dizin oluşturma isteğini gönderebilir ve sonra dizini normal olarak kullanmaya başlayabilirsiniz.You can now send the index creation request, and then start using the index normally.

Örnek: eş anlamlı eşleme şifrelemesiExample: Synonym map encryption

REST API aracılığıyla yeni bir eş anlamlı eşleme oluşturma ayrıntıları, burada tek fark, eş anlamlı eşleme tanımının bir parçası olarak şifreleme anahtarı ayrıntılarını belirtirken, eş anlamlı harita oluşturma (Azure Bilişsel Arama REST API)' de bulunabilir:The details of creating a new synonym map via the REST API can be found at Create Synonym Map (Azure Cognitive Search REST API), where the only difference here is specifying the encryption key details as part of the synonym map definition:

{   
  "name" : "synonymmap1",  
  "format" : "solr",  
  "synonyms" : "United States, United States of America, USA\n
  Washington, Wash. => WA",
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
  }
}

Artık eş anlamlı harita oluşturma isteğini gönderebilir ve normal olarak kullanmaya başlayabilirsiniz.You can now send the synonym map creation request, and then start using it normally.

Önemli

EncryptionKey , mevcut Azure bilişsel arama dizinlerine veya eş anlamlı haritalara eklenemediğinden, üç Anahtar Kasası ayrıntılarının (örneğin, anahtar sürümünü güncelleştirme) her biri için farklı değerler sunarak güncelleştirilmiş olabilir.While encryptionKey cannot be added to existing Azure Cognitive Search indexes or synonym maps, it may be updated by providing different values for any of the three key vault details (for example, updating the key version). Yeni bir Key Vault anahtarına veya yeni bir anahtar sürümüne geçiş yaparken, önce anahtarı kullanan tüm Azure Bilişsel Arama dizini veya eş anlamlı Haritası, önceki key\version. silinmeden önce yeni key\version kullanacak şekilde güncellenmelidirWhen changing to a new Key Vault key or a new key version, any Azure Cognitive Search index or synonym map that uses the key must first be updated to use the new key\version before deleting the previous key\version. Bunun başarısız olması, anahtar erişimi kaybolduktan sonra içeriğin şifresini çözemeyeceği için dizin veya eş anlamlı haritanın kullanılamaz hale gelmesine neden olur.Failing to do so will render the index or synonym map unusable, as it won't be able to decrypt the content once key access is lost.
Anahtar Kasası erişim izinlerini daha sonra geri yüklemek, içerik erişimini geri yükler.Restoring Key vault access permissions at a later time will restore content access.

Gelişmiş: dışarıdan yönetilen Azure Active Directory uygulaması kullanmaAdvanced: Use an externally managed Azure Active Directory application

Yönetilen bir kimlik mümkün olmadığında Azure Bilişsel Arama hizmetiniz için güvenlik sorumlusu olan bir Azure Active Directory uygulaması oluşturabilirsiniz.When a managed identity is not possible, you can create an Azure Active Directory application with a security principal for your Azure Cognitive Search service. Özellikle, yönetilen bir kimlik şu koşullarda önemli değildir:Specifically, a managed identity is not viable under these conditions:

  • Anahtar kasasına doğrudan arama hizmeti erişim izinleri verilemez (örneğin, arama hizmeti, Azure Key Vault farklı bir Active Directory kiracısında ise).You cannot directly grant your search service access permissions to the Key vault (for example, if the search service is in a different Active Directory tenant than the Azure Key Vault).

  • Tek bir arama hizmeti, her anahtar kasasının kimlik doğrulaması için farklı bir kimlik kullanması gereken farklı bir anahtar kasasından farklı bir anahtar kullanan birden çok şifrelenmiş ındexes\eş anlamlı haritaları barındırmak için gereklidir.A single search service is required to host multiple encrypted indexes\synonym maps, each using a different key from a different Key vault, where each key vault must use a different identity for authentication. Farklı anahtar kasalarını yönetmek için farklı bir kimlik kullanmak bir gereksinim değildir, yukarıdaki yönetilen kimlik seçeneğini kullanmayı düşünün.If using a different identity to manage different Key vaults is not a requirement, consider using the managed identity option above.

Azure Bilişsel Arama, bu tür topolojilerle uyum sağlamak için, arama hizmetiniz ve Key Vault arasında kimlik doğrulaması için Azure Active Directory (AAD) uygulamalarının kullanımını destekler.To accommodate such topologies, Azure Cognitive Search supports using Azure Active Directory (AAD) applications for authentication between your search service and Key Vault.
Portalda bir AAD uygulaması oluşturmak için:To create an AAD application in the portal:

  1. Azure Active Directory uygulaması oluşturma.Create an Azure Active Directory application.

  2. Şifrelenmiş bir dizin oluşturmak için gerekli olacak şekilde , uygulama kimliği ve kimlik doğrulama anahtarını alın .Get the application ID and authentication key as those will be required for creating an encrypted index. Uygulama kimliği ve kimlik doğrulama anahtarısağlamanız gereken değerler.Values you will need to provide include application ID and authentication key.

Önemli

Yönetilen bir kimlik yerine kimlik doğrulaması için bir AAD uygulaması kullanmaya karar verirken, Azure Bilişsel Arama tarafından sizin adınıza AAD uygulamanızı yönetmek için yetkilendirilmediğini göz önünde bulundurun ve düzenli aralıklarla, AAD uygulamanızı yönetmek için uygulama kimlik doğrulama anahtarının dönüşü.When deciding to use an AAD application of authentication instead of a managed identity, consider the fact that Azure Cognitive Search is not authorized to manage your AAD application on your behalf, and it is up to you to manage your AAD application, such as periodic rotation of the application authentication key. Bir AAD uygulamasını veya kimlik doğrulama anahtarını değiştirirken, bu uygulamayı kullanan tüm Azure Bilişsel Arama dizini veya eş anlamlı Haritası, önceki uygulamayı veya yetkilendirme silinmeden önce yeni Application ID\key kullanacak şekilde güncelleştirilmeleri gerekir anahtar ve Key Vault erişimi iptal etmeden önce.When changing an AAD application or its authentication key, any Azure Cognitive Search index or synonym map that uses that application must first be updated to use the new application ID\key before deleting the previous application or its authorization key, and before revoking your Key Vault access to it. Bunun başarısız olması, anahtar erişimi kaybolduktan sonra içeriğin şifresini çözemeyeceği için dizin veya eş anlamlı haritanın kullanılamaz hale gelmesine neden olur.Failing to do so will render the index or synonym map unusable, as it won't be able to decrypt the content once key access is lost.

Sonraki adımlarNext steps

Azure Güvenlik mimarisi hakkında bilginiz varsa, Azure Güvenlik belgelerinigözden geçirin ve özellikle bu makalede:If you are unfamiliar with Azure security architecture, review the Azure Security documentation, and in particular, this article: