Поделиться через

Шифрование неактивных данных в Персонализаторе

Внимание

Начиная с 20 сентября 2023 г. вы не сможете создавать новые ресурсы Персонализатора. Служба Персонализатора выводится из эксплуатации 1 октября 2026 года. Рекомендуем перейти на проект с открытым исходным кодом microsoft/learning-loop.

Персонализатор — это служба в Azure AI services, использующая модель машинного обучения для предоставления приложений с пользовательским содержимым. Когда Персонализатор сохраняет данные в облако, он шифрует их. Шифрование защищает данные и помогает соблюдать корпоративные обязательства по обеспечению безопасности и соответствию требованиям.

Сведения о шифровании средств Foundry

Шифрование и расшифровка данных выполняется с помощью 256-битного шифрования AES по стандарту FIPS 140-2. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные защищены по умолчанию. Вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

По умолчанию ваша подписка использует ключи шифрования, управляемые Майкрософт. Вы также можете управлять подпиской с помощью собственных ключей, которые называются ключами, управляемыми клиентом. При использовании ключей, управляемых клиентом, вы получаете большую гибкость в создании, смене, отключении и отзыве элементов управления доступом. Кроме того, вы можете выполнять аудит ключей шифрования, используемых для защиты ваших данных. Если для вашей подписки настроены ключи, управляемые клиентом, обеспечивается двойное шифрование. С помощью этого второго уровня защиты вы можете управлять ключом шифрования с помощью Azure Key Vault.

Управляемые клиентом ключи с Azure Key Vault

При использовании ключей, управляемых клиентом, необходимо использовать Azure Key Vault для их хранения. Вы можете создать собственные ключи и сохранить их в key vault или использовать API Key Vault для создания ключей. Ресурс Foundry Tools и хранилище ключей должны находиться в одном регионе и в одном и том же клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения о Key Vault см. в разделе Несколько Azure Key Vault?.

При создании нового ресурса Foundry Tools он всегда шифруется с помощью ключей, управляемых Майкрософт. При создании ресурса невозможно включить ключи, управляемые клиентом. Ключи, управляемые клиентом, хранятся в Key Vault. Хранилище ключей необходимо настроить с помощью политик доступа, которые предоставляют разрешения на ключи управляемому удостоверению, связанному с ресурсом Foundry Tools. Управляемое удостоверение доступно только после создания ресурса с использованием ценовой категории, необходимой для ключей, управляемых клиентом.

Включение ключей, управляемых клиентом, также включает назначаемое системой управляемое удостоверение, функцию Microsoft Entra ID. После включения управляемого удостоверения, назначаемого системой, этот ресурс регистрируется в Microsoft Entra ID. После регистрации управляемому удостоверению предоставляется доступ к хранилищу ключей, выбранному во время настройки ключа, управляемого клиентом.

Внимание

Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать.

Внимание

Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке клиентских ключей на портале Azure, управляемое удостоверение назначается автоматически. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому управляемые клиентом ключи могут перестать работать. Дополнительные сведения см. в разделе Перенос подписки между каталогами Microsoft Entra в Часто задаваемые вопросы и известные проблемы с управляемыми удостоверениями для ресурсов Azure.

Настройка Key Vault

При использовании ключей, управляемых клиентом, необходимо задать два свойства в хранилище ключей: Мягкое удаление и Не удалять безвозвратно. Эти свойства по умолчанию не включены, но их можно включить в новом или существующем хранилище ключей с помощью портала Azure, PowerShell или Azure CLI.

Внимание

Если свойства Мягкое удаление и Не очищать не включены, и вы удалите ключ, то не сможете восстановить данные в ресурсе Foundry Tools.

Чтобы узнать, как включить эти свойства в существующем хранилище ключей, см. в статье Azure Key Vault управление восстановлением с помощью мягкого удаления и защиты от удаления.

Активируйте ключи, управляемые клиентом, для вашего ресурса

Чтобы включить ключи, управляемые клиентом на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу Foundry Tools.

  2. В области слева выберите Шифрование.

  3. В разделе Тип шифрования выберите Ключи, управляемые клиентом, как показано на следующем снимке экрана.

    Снимок экрана: страница параметров шифрования для ресурса Foundry. В разделе

Указание ключа

После включения ключей, управляемых клиентом, можно указать ключ для связывания с ресурсом Foundry Tools.

Указание ключа в качестве URI

Чтобы указать ключ с помощью URI, выполните следующие действия.

  1. На портале Azure перейдите в хранилище ключей.

  2. В разделе Параметры выберите Ключи.

  3. Выберите нужный ключ, а затем выберите его еще раз, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

  4. Скопируйте значение Идентификатор ключа, которое обеспечивает URI.

    Скриншот страницы портала Azure для версии ключа. Поле

  5. Вернитесь к ресурсу средств Foundry, а затем выберите "Шифрование".

  6. В разделе Ключ шифрования выберите Ввести URI ключа.

  7. Вставьте скопированный URI в поле URI ключа.

    Снимок экрана страницы шифрования ресурса Foundry. Выбран параметр 'Enter key URI', а поле URI ключа содержит значение.

  8. В разделе Подписка выберите подписку, содержащую хранилище ключей.

  9. Сохраните изменения.

Укажите ключ из хранилища ключей

Чтобы указать ключ из хранилища ключей, сначала убедитесь, что у вас есть хранилище ключей, содержащее ключ. Затем выполните следующие шаги:

  1. Перейдите к ресурсу Средств Foundry и выберите "Шифрование".

  2. В разделе Encryption key выберите Выбрать из Key Vault.

  3. Выберите хранилище ключей, содержащее ключ, который вы хотите использовать.

  4. Выберите нужный ключ.

    Снимок экрана страницы выбора ключа из Azure Key Vault на портале Azure. Поля

  5. Сохраните изменения.

Обновление версии ключа

При создании новой версии ключа обновите ресурс Foundry Tools, чтобы использовать новую версию. Выполните следующие действия:

  1. Перейдите к ресурсу Средств Foundry и выберите "Шифрование".
  2. Введите URI новой версии ключа. В качестве альтернативы вы можете сначала выбрать хранилище ключей, а затем снова выбрать ключ, чтобы обновить версию.
  3. Сохраните изменения.

Использование другого ключа

Чтобы сменить ключ, используемый для шифрования, выполните следующие действия.

  1. Перейдите к ресурсу Средств Foundry и выберите "Шифрование".
  2. Введите URI нового ключа. Как вариант, можно выбрать хранилище ключей и затем выбрать новый ключ.
  3. Сохраните ваши изменения.

Поворот управляемых клиентом ключей

Ключ, управляемый клиентом, можно обновить в Key Vault в соответствии с вашими политиками соответствия. При смене ключа необходимо обновить ресурс Foundry Tools, чтобы использовать новый унифицированный идентификатор ресурса (URI) ключа. Чтобы узнать, как обновить ресурс для использования новой версии ключа на портале Azure, см. в разделе Обновление версии ключа.

При циклической смене ключа не запускается повторное шифрование данных ресурса. Никаких действий со стороны пользователя не требуется.

Отзыв доступа к управляемым клиентом ключам

Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе Foundry Tools, так как ключ шифрования недоступен средствами Foundry.

Отключение ключей, управляемых клиентом

При отключении управляемых клиентом ключей ресурс Foundry Tools затем шифруется с помощью ключей, управляемых Майкрософт. Чтобы отключить управляемые клиентом ключи, выполните следующие действия.

  1. Перейдите к ресурсу Средств Foundry и выберите "Шифрование".
  2. Уберите отметку в поле рядом с Использовать собственный ключ.

Следующие шаги

  • Last updated on