مشاركة عبر

تشفير الأوامر المخصصة للبيانات في حالة الثبات

  • مقالة

هام

سيتم إيقاف الأوامر المخصصة في 30 أبريل 2026. اعتبارا من 30 أكتوبر 2023، لا يمكنك إنشاء تطبيقات أوامر مخصصة جديدة في Speech Studio. فيما يتعلق بهذا التغيير، سيتم إيقاف LUIS في 1 أكتوبر 2025. اعتبارا من 1 أبريل 2023، لا يمكنك إنشاء موارد LUIS جديدة.

تقوم الأوامر المخصصة تلقائيا بتشفير بياناتك عند استمرارها في السحابة. يحمي تشفير خدمة Custom Commands بياناتك ويساعدك على الوفاء بالتزاماتك المتعلقة بالأمان والامتثال التنظيمي.

إشعار

لا تعمل خدمة Custom Commands على تمكين التشفير تلقائياً لموارد LUIS المرتبطة بتطبيقك. إذا لزم الأمر، يجب تمكين التشفير لمورد LUIS الخاص بك من هنا.

حول تشفير خدمات Azure الذكاء الاصطناعي

يتم تشفير البيانات وفك تشفيرها باستخدام التشفيرFIPS 140-2متوافق مع256 بت AES. يتسم التشفير وفك التشفير بالشفافية، مما يعني أنه تتم إدارة التشفير والوصول من أجلك. بياناتك آمنة بشكل افتراضي ولن تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من التشفير.

حول إدارة مفاتيح التشفير

عند استخدام الأوامر المخصصة، تخزن خدمة الكلام البيانات التالية في السحابة:

  • تكوين JSON خلف تطبيق Custom Commands
  • تأليف LUIS ومفتاح التنبؤ

افتراضياً، يستخدم اشتراكك مفاتيح التشفير التي تديرها Microsoft. ومع ذلك، يمكنك أيضاً إدارة اشتراكك باستخدام مفاتيح التشفير الخاصة بك. توفر المفاتيح التي يديرها العميل (CMK)، والمعروفة أيضاً باسم إحضار المفتاح الخاص بك (BYOK)، قدراً أكبر من المرونة لإنشاء عناصر التحكم في الوصول وتدويرها وتعطيلها وإبطالها. يمكنك أيضاً تدقيق مفاتيح التشفير المستخدمة لحماية بياناتك.

هام

المفاتيح التي يديرها العميل هي فقط الموارد المتاحة التي تم إنشاؤها بعد 27 يونيو 2020. لاستخدام CMK مع خدمة Speech، ستحتاج إلى إنشاء مورد Speech جديد. بمجرد إنشاء المورد، يمكنك استخدام Azure Key Vault لإعداد هويتك المدارة.

لطلب القدرة على استخدام المفاتيح المُدارة من قِبل العميل، قم بملء نموذج طلب المفتاح المُدار من قِبل العميل وإرساله. يستغرق الأمر ما يقرب من 3-5 أيام عمل للاستماع مرة أخرى إلى حالة طلبك. اعتمادا على الطلب، قد يتم وضعك في قائمة انتظار والموافقة عليها مع توفر مساحة. بمجرد الموافقة على استخدام CMK مع خدمة Speech، تحتاج إلى إنشاء مورد Speech جديد من مدخل Microsoft Azure.

إشعار

المفاتيح التي يديرها العميل (CMK) مدعومة فقط للأوامر المخصصة.

لا يزال الكلام المخصص والصوت المخصص يدعمان فقط إحضار التخزين الخاص بك (BYOS). التعرف على المزيد

إذا كنت تستخدم مورد الكلام المحدد للوصول إلى هذه الخدمة، فيجب تلبية متطلبات التوافق من خلال تكوين BYOS بشكل صريح.

مفاتيح يديرها العميل باستخدام Azure Key Vault

يجب عليك استخدام Azure Key Vault لتخزين المفاتيح المُدارة بواسطة العميل. يمكنك إما إنشاء المفاتيح الخاصة بك وتخزينها في قبو المفاتيح، أو يمكنك استخدام واجهات برمجة تطبيقات Azure Key Vault لإنشاء المفاتيح. يجب أن يكون مورد Speech وخزنة المفاتيح في نفس المنطقة وفي نفس مستأجر Microsoft Entra، ولكن يمكن أن يكونا في اشتراكات مختلفة. لمزيدٍ من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟

عند إنشاء مورد Speech جديد واستخدامه لتوفير تطبيقات الأوامر المخصصة، يتم تشفير البيانات دائما باستخدام المفاتيح التي تديرها Microsoft. لا يمكن تمكين المفاتيح المُدارة بواسطة العميل وقت إنشاء المورد. يتم تخزين المفاتيح التي يديرها العميل في Azure Key Vault، ويجب توفير مخزن المفاتيح بنهج الوصول التي تمنح أذونات المفاتيح للهوية المدارة المقترنة بمورد خدمات Azure الذكاء الاصطناعي. لا تتوفر الهوية المُدارة إلا بعد إنشاء المورد باستخدام فئة الأسعار المطلوبة لـ CMK.

يتيح تمكين المفاتيح المدارة للعميل أيضا هوية مدارة معينة من قبل النظام، وهي ميزة من ميزات Microsoft Entra ID. بمجرد تمكين الهوية المدارة المعينة من قبل النظام، يتم تسجيل هذا المورد بمعرف Microsoft Entra. بعد التسجيل، يتم منح الهوية المدارة حق الوصول إلى Key Vault المحدد أثناء إعداد المفتاح المدار من قبل العميل.

هام

إذا قمت بتعطيل الهويات المُدارة المخصصة من قبل النظام، فستتم إزالة الوصول إلى مخزن المفاتيح ولن يكون الوصول إلى أي بيانات مشفرة باستخدام مفاتيح العميل متاحاً بعد ذلك. ستتوقف أي ميزات تعتمد على هذه البيانات عن العمل.

هام

لا تدعم الهويات المُدارة حالياً سيناريوهات عبر الدليل. عندما تقوم بتكوين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، يتم تعيين الهوية المُدارة تلقائياً ضمن الأغلفة. إذا قمت بعد ذلك بنقل الاشتراك أو مجموعة الموارد أو المورد من دليل Microsoft Entra إلى آخر، فلن يتم نقل الهوية المدارة المقترنة بالمورد إلى المستأجر الجديد، لذلك قد لا تعمل المفاتيح التي يديرها العميل. لمزيد من المعلومات، راجع نقل اشتراك بين دلائل Microsoft Entra في الأسئلة المتداولة والمشكلات المعروفة مع الهويات المدارة لموارد Azure.

تكوين مخزن Azure الرئيسي

يتطلب استخدام المفاتيح المُدارة بواسطة العميل تعيين خاصيتين في مخزن المفاتيح، Soft Delete وDo Not Purge. لا يتم تمكين هذه الخصائص بشكل افتراضي، ولكن يمكن تمكينها باستخدام PowerShell أو Azure CLI على مخزن مفاتيح جديد أو موجود.

هام

إذا لم يكن لديك الخاصيتان Soft Delete و Do Not Purge ممكنتين وقمت بحذف المفتاح الخاص بك، فلن تتمكن من استرداد البيانات في مورد خدمات Azure الذكاء الاصطناعي.

لمعرفة كيفية تمكين هذه الخصائص في مخزن مفاتيح موجودة، راجع القسمين بعنوان تمكين الحذف المبدئي وتمكين الحماية من التطهير في إحدى المقالات التالية:

تدعم مفاتيح RSA بحجم 2048 فقط مع تشفير Azure Storage. لمزيد من المعلومات حول المفاتيح، راجع Key Vault keys في حول مفاتيح Azure Key Vault والبيانات السرية والشهادات.

تمكين المفاتيح المُدارة بواسطة العميل لمورد الكلام الخاص بك

لتمكين المفاتيح المُدارة بواسطة العميل في مدخل Microsoft Azure، اتبع هذه الخطوات.

  1. انتقل إلى مورد الكلام الخاص بك.
  2. في صفحة الإعدادات لمورد الكلام، حدد تشفير. حدد الخيار Customer Managed Keys، كما هو موضح في الشكل التالي.

لقطة شاشة تعرض كيفية تحديد المفاتيح التي يديرها العميل

حدد مفتاحاً

بعد تمكين المفاتيح التي يديرها العميل، ستتوفر لديك الفرصة لتحديد مفتاح لإقرانه بمورد خدمات Azure الذكاء الاصطناعي.

حدد مفتاحاً باعتباره URI

لتحديد مفتاح كعنوان URI، اتبع الخطوات التالية:

  1. لتحديد موقع URI للمفتاح في مدخل Azure، انتقل إلى مخزن المفاتيح لديك، وحدد إعداد المفاتيح. حدد المفتاح المطلوب، ثم حدد المفتاح المطلوب لعرض إصداراته. حدد إصدار مفتاح لعرض إعدادات ذلك الإصدار.

  2. انسخ قيمة حقل معرف المفتاح الذي يوفر عنوان URI.

    لقطة شاشة تعرض مفتاح URI لمفتاح الخزنة

  3. في إعدادات التشفير لخدمة الكلام، حدد الخيار Enter key URI.

  4. الصق عنوان URI الذي نسخته في حقل URI للمفتاح.

  5. حدد الاشتراك الذي يحتوي على مخزن المفاتيح.

  6. احفظ تغييراتك.

تحديد مفتاح من key vault

لتحديد مفتاح من key vault، تأكد أولًا من أن لديك key vault يحتوي على مفتاح. لتحديد مفتاح من مخزن مفاتيح، اتبع الخطوات التالية:

  1. اختر الخيار تحديد من Key Vault.

  2. حدد مخزن المفاتيح الذي يحتوي على المفتاح الذي تريد استخدامه.

  3. حدد المفتاح من مخزن المفاتيح.

    لقطة شاشة تعرض خيار المفتاح الذي يديره العميل

  4. احفظ تغييراتك.

تحديث إصدار المفتاح

عند إنشاء إصدار جديد من أحد المفاتيح، قم بتحديث مورد الكلام لاستخدام الإصدار الجديد. اتبع الخطوات التالية:

  1. انتقل إلى مورد الكلام واعرض إعدادات التشفير.
  2. أدخل عنوان URL لإصدار المفتاح الجديد. بالتناوب، يمكنك تحديد مخزن المفاتيح والمفتاح مرة أخرى لتحديث الإصدار.
  3. احفظ تغييراتك.

استخدم مفتاح مختلف

لتغيير المفتاح المستخدم للتشفير، اتبع الخطوات التالية:

  1. انتقل إلى مورد الكلام واعرض إعدادات التشفير.
  2. أدخل URI للمفتاح الجديد. بالتناوب، يمكنك تحديد مخزن المفاتيح واختيار مفتاح جديد.
  3. احفظ تغييراتك.

قم بتدوير المفاتيح المُدارة بواسطة العميل

يمكنك تدوير مفتاح يديره العميل في Azure Key Vault وفقًا لسياسات الامتثال الخاصة بك. عندما يتم تدوير المفتاح، يجب عليك تحديث مورد الكلام لاستخدام مفتاح URI الجديد. لمعرفة طريقة تحديث المورد لاستخدام إصدار جديد من المفتاح في مدخل Microsoft Azure، راجع تحديث إصدار المفتاح.

تدوير المفتاح لا يؤدي إلى إعادة تشفير البيانات في المورد. لا يوجد أي إجراء آخر مطلوب من المستخدم.

إبطال الوصول إلى المفاتيح التي يديرها العميل

لإبطال الوصول إلى المفاتيح التي يديرها العميل، استخدم PowerShell أو Azure CLI. لمزيد من المعلومات، راجع Azure Key Vault PowerShell أو Azure Key Vault CLI. يؤدي إبطال الوصول بشكل فعال إلى حظر الوصول إلى جميع البيانات في مورد خدمات Azure الذكاء الاصطناعي، حيث لا يمكن الوصول إلى مفتاح التشفير بواسطة خدمات Azure الذكاء الاصطناعي.

استخدام المفاتيح المُدارة بواسطة العملاء

عند تعطيل المفاتيح المُدارة بواسطة العميل، يتم بعد ذلك تشفير مورد الكلام الخاص بك باستخدام مفاتيح مُدارة من Microsoft. لتعطيل المفاتيح التي يديرها العميل، اتبع الخطوات التالية:

  1. انتقل إلى مورد الكلام واعرض إعدادات التشفير.
  2. قم بإلغاء تحديد خانة الاختيار الموجودة بجوار إعداد استخدام المفتاح الخاص بك.

الخطوات التالية