Language Understanding 服務待用數據加密
重要
LUIS 將於 2025 年 10 月 1 日淘汰,從 2023 年 4 月 1 日起,您將無法建立新的 LUIS 資源。 建議您 將 LUIS 應用程式 移轉至 對話式語言理解 ,以受益於持續的產品支援和多語系功能。
Language Understanding 服務會在數據保存至雲端時自動加密數據。 Language Understanding 服務加密可保護您的數據,並協助您符合組織安全性和合規性承諾。
關於 Azure AI 服務加密
數據會使用符合 FIPS 140-2 規範的 256 位 AES 加密進行加密和解密。 加密和解密是透明的,這表示加密和存取會為您管理。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。
關於加密金鑰管理
根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 您也可以選擇使用稱為客戶自控金鑰 (CMK) 的自有金鑰來管理您的訂用帳戶。 CMK 提供更大的彈性來建立、輪替、停用和撤銷訪問控制。 您也可稽核用來保護資料的加密金鑰。
使用 Azure 金鑰保存庫 的客戶自控金鑰
您也可以選擇使用您自己的金鑰來管理您的訂用帳戶。 客戶自控金鑰 (CMK) 也稱為「攜帶您自己的金鑰 (BYOK)」,可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。
您必須使用 Azure 金鑰保存庫 來儲存客戶管理的金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,也可以使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure AI 服務資源和密鑰保存庫必須位於相同的區域和相同的 Microsoft Entra 租使用者中,但它們可以位於不同的訂用帳戶中。 如需 Azure 金鑰保存庫 的詳細資訊,請參閱什麼是 Azure 金鑰保存庫?。
限制
搭配現有/先前建立的應用程式使用 E0 層時,有一些限制:
- 移轉至 E0 資源將會遭到封鎖。 使用者只能將其應用程式移轉至 F0 資源。 將現有的資源移轉至 F0 之後,您可以在 E0 層中建立新的資源。
- 將應用程式移入或移出E0資源將會遭到封鎖。 這項限制的解決方法是導出現有的應用程式,並將其匯入為 E0 資源。
- 不支援 Bing 拼字檢查功能。
- 如果您的應用程式是 E0,則會停用記錄使用者流量。
- E0 層中的應用程式不支援來自 Azure AI Bot Service 的語音預備功能。 此功能可透過不支援 CMK 的 Azure AI Bot 服務取得。
- 入口網站中的語音預備功能需要 Azure Blob 儲存體。 如需詳細資訊,請參閱 自備記憶體。
啟用客戶管理的金鑰
一律使用 Microsoft 受控的金鑰,加密新的 Azure AI 服務資源。 在建立資源時,無法啟用客戶管理的金鑰。 客戶自控金鑰會儲存在 Azure Key Vault 中,且必須使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源建立關聯的受控識別。 只有在使用 CMK 的定價層建立資源之後,才能使用受控識別。
若要了解如何在 Azure Key Vault 使用客戶自控金鑰進行 Azure AI 服務加密,請參閱:
啟用客戶管理的金鑰也會啟用系統指派的受控識別,這是 Microsoft Entra ID 的功能。 啟用系統指派的受控識別之後,此資源將會向 Microsoft Entra 識別元註冊。 註冊之後,受控識別會獲得客戶管理密鑰設定期間所選取 金鑰保存庫的存取權。 您可以深入瞭解 受控識別。
重要
如果您停用系統指派的受控識別,將會移除密鑰保存庫的存取權,且使用客戶密鑰加密的任何資料將無法再存取。 任何相依於此數據的功能都會停止運作。
重要
受控識別目前不支援跨目錄案例。 當您在 Azure 入口網站 中設定客戶管理的金鑰時,系統會自動在涵蓋下指派受控識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別不會傳輸到新的租使用者,因此客戶管理的密鑰可能無法再運作。 如需詳細資訊,請參閱在常見問題中的 Microsoft Entra 目錄之間傳輸訂用帳戶,以及 Azure 資源的受控識別已知問題。
將客戶管理的金鑰儲存在 Azure 金鑰保存庫
若要啟用客戶管理的金鑰,您必須使用 Azure 金鑰保存庫 來儲存金鑰。 您必須在金鑰保存庫上啟用 虛刪除 和 [不要清除 ] 屬性。
Azure AI 服務加密只支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊,請參閱關於 Azure 金鑰保存庫 密鑰、秘密和憑證中的 金鑰保存庫 金鑰。
輪替客戶管理的金鑰
您可以根據您的合規性政策,在 Azure 中輪替客戶管理的密鑰 金鑰保存庫。 輪替金鑰時,您必須更新 Azure AI 服務資源,以使用新的金鑰 URI。 若要瞭解如何更新資源以在 Azure 入口網站 中使用新版本的金鑰,請參閱使用 Azure 入口網站 來設定 Azure AI 服務客戶管理的金鑰中的金鑰版本一節。
輪替金鑰不會觸發資源中的數據重新加密。 使用者不需要採取進一步的動作。
撤銷客戶自控金鑰的存取權
若要撤銷客戶管理的密鑰存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure 金鑰保存庫 PowerShell 或 Azure 金鑰保存庫 CLI。 撤銷存取權可有效封鎖 Azure AI 服務資源中所有資料的存取,因為 Azure AI 服務無法存取加密金鑰。