خدمة فهم اللغة لتشفير البيانات الثابتة

هام

سيتم إيقاف LUIS في 1 أكتوبر 2025 وبدءا من 1 أبريل 2023، لن تتمكن من إنشاء موارد LUIS جديدة. نوصي بترحيل تطبيقات LUIS الخاصة بك إلى فهم لغة المحادثة للاستفادة من دعم المنتج المستمر والقدرات متعددة اللغات.

تقوم خدمة Metrics Advisor بتشفير بياناتك بشكل تلقائي عند استمرارها في السحابة. يحمي تشفير خدمات Language بياناتك ويساعدك على الوفاء بالتزاماتك المتعلقة بالأمان والامتثال التنظيمي.

حول تشفير خدمات Azure الذكاء الاصطناعي

يتم تشفير البيانات وفك تشفيرها باستخدام التشفيرFIPS 140-2متوافق مع256 بت AES. يتسم التشفير وفك التشفير بالشفافية، مما يعني أنه تتم إدارة التشفير والوصول من أجلك. بياناتك آمنة بشكل افتراضي ولن تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. هناك أيضا خيار لإدارة اشتراكك باستخدام المفاتيح الخاصة بك تسمى المفاتيح المدارة من قبل العملاء (CMKs). توفر CMKs مرونة أكبر لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

مفاتيح يديرها العميل باستخدام Azure Key Vault

هناك أيضاً خيار لإدارة اشتراكك بمفاتيحك الخاصة. توفر المفاتيح التي يديرها العميل (CMKs)، والمعروفة أيضا باسم إحضار المفتاح الخاص بك (BYOK)، مرونة أكبر لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح المُدارة بواسطة العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد خدمات Azure الذكاء الاصطناعي وخزنة المفاتيح في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيدٍ من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

القيود

هناك بعض القيود عند استخدام طبقة E0 مع التطبيقات الموجودة/التي تم إنشاؤها مسبقا:

• سيتم حظر الترحيل إلى مورد E0. سيتمكن المستخدمون فقط من ترحيل تطبيقاتهم إلى موارد F0. بعد ترحيل مورد موجود إلى F0، يمكنك إنشاء مورد جديد في طبقة E0.
• سيتم حظر نقل التطبيقات من أو إلى مورد E0. يتمثل الحل البديل لهذا القيد في تصدير تطبيقك الحالي، واستيراده كمورد E0.
• ميزة التدقيق الإملائي Bing غير مدعومة.
• يتم تعطيل تسجيل حركة مرور المستخدم النهائي إذا كان التطبيق الخاص بك هو E0.
• لا يتم دعم إمكانية إنشاء الكلام من Azure الذكاء الاصطناعي Bot Service للتطبيقات في طبقة E0. تتوفر هذه الميزة عبر Azure الذكاء الاصطناعي Bot Service، والتي لا تدعم CMK.
• تتطلب إمكانية إنشاء الكلام من المدخل تخزين Azure Blob. لمزيد من المعلومات، راجع إحضار مساحة التخزين الخاصة بك.

استخدام المفاتيح المُدارة بواسطة العملاء

يتم دائما تشفير مورد خدمات Azure الذكاء الاصطناعي جديد باستخدام مفاتيح تديرها Microsoft. لا يمكن تمكين المفاتيح المُدارة بواسطة العميل وقت إنشاء المورد. يتم تخزين المفاتيح التي يديرها العميل في Azure Key Vault، ويجب توفير مخزن المفاتيح بنهج الوصول التي تمنح أذونات المفاتيح للهوية المدارة المقترنة بمورد خدمات Azure الذكاء الاصطناعي. لا تتوفر الهوية المدارة إلا بعد إنشاء المورد باستخدام فئة الأسعار لـ CMK.

لمعرفة كيفية استخدام المفاتيح المدارة من قبل العميل مع Azure Key Vault لتشفير خدمات Azure الذكاء الاصطناعي، راجع:

• تكوين المفاتيح المدارة بواسطة العميل باستخدام Key Vault لتشفير خدمات Azure الذكاء الاصطناعي من مدخل Microsoft Azure

سيؤدي تمكين المفاتيح المدارة للعميل أيضا إلى تمكين هوية مدارة معينة من قبل النظام، وهي ميزة من ميزات معرف Microsoft Entra. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، سيتم تسجيل هذا المورد بمعرف Microsoft Entra. بعد التسجيل، سيتم منح الهوية المُدارة إمكانية الوصول إلى Key Vault المحدد خلال إعداد المفتاح المُدار من قِبل العميل. يمكنك معرفة المزيد حول الهويات المُدارة.

هام

إذا قمت بتعطيل الهويات المُدارة المخصصة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل متاحاً بعد ذلك. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، يتم تعيين الهوية المُدارة تلقائياً ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Microsoft Entra إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra في الأسئلة المتداولة والمشكلات المعروفة مع الهويات المدارة لموارد Azure.

تخزين المفاتيح المُدارة بواسطة العميل في Azure Key Vault

لتمكين المفاتيح المُدارة من قِبل العميل، يجب عليك استخدام Azure Key Vault لتخزين المفاتيح الخاصة بك. يجب تمكين كل من خصائص الحذف الناعم وعدم الإزالة في مخزن المفاتيح.

يتم دعم مفاتيح RSA بحجم 2048 فقط مع تشفير خدمات Azure الذكاء الاصطناعي. لمزيد من المعلومات حول المفاتيح، راجع Key Vault keys في حول مفاتيح Azure Key Vault والبيانات السرية والشهادات.

قم بتدوير المفاتيح المُدارة بواسطة العميل

يمكنك تدوير مفتاح يديره العميل في Azure Key Vault وفقًا لسياسات الامتثال الخاصة بك. عند تدوير المفتاح، يجب تحديث مورد خدمات Azure الذكاء الاصطناعي لاستخدام مفتاح URI الجديد. لمعرفة كيفية تحديث المورد لاستخدام إصدار جديد من المفتاح في مدخل Microsoft Azure، راجع القسم المعنون تحديث إصدار المفتاح في تكوين المفاتيح المدارة من قبل العميل لخدمات Azure الذكاء الاصطناعي باستخدام مدخل Microsoft Azure.

لا يؤدي تدوير المفتاح إلى إعادة تشفير البيانات في المورد. لا يوجد أي إجراء آخر مطلوب من المستخدم.

إبطال الوصول إلى المفاتيح التي يديرها العميل

لإبطال الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI. لمزيد من المعلومات، راجع Azure Key Vault PowerShell أو Azure Key Vault CLI. يؤدي إبطال الوصول بشكل فعال إلى حظر الوصول إلى جميع البيانات في مورد خدمات Azure الذكاء الاصطناعي، حيث لا يمكن الوصول إلى مفتاح التشفير بواسطة خدمات Azure الذكاء الاصطناعي.

الخطوات التالية

• تعرف على المزيد حول Azure Key Vault