Share via

Šifrování neaktivních uložených dat funkce Document Intelligence

  • Článek

Tento obsah se vztahuje na:checkmarkv4.0 (Preview)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

Důležité

  • Starší verze klíčů spravovaných zákazníkem zašifrovaly jenom vaše modely. *Počínaje vydáním 07/31/2023 všechny nové prostředky používají klíče spravované zákazníkem k šifrování modelů i výsledků dokumentů. Pokud chcete upgradovat existující službu, která šifruje modely i data, jednoduše zakažte a znovu zakažte klíč spravovaný zákazníkem.

Azure AI Document Intelligence automaticky šifruje vaše data při zachování do cloudu. Šifrování funkce Document Intelligence chrání vaše data, aby vám pomohlo splnit závazky organizace týkající se zabezpečení a dodržování předpisů.

Šifrování služeb Azure AI

Data se šifrují a dešifrují pomocí 256bitového šifrování AES vyhovující standardu FIPS 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou ve výchozím nastavení zabezpečená. Abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.

Správa šifrovacích klíčů

Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. Předplatné můžete spravovat také pomocí vlastních klíčů, které se nazývají klíče spravované zákazníkem. Když používáte klíče spravované zákazníkem, máte větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Můžete také auditovat šifrovací klíče, které používáte k ochraně dat. Pokud jsou pro vaše předplatné nakonfigurované klíče spravované zákazníkem, zobrazí se dvojité šifrování. S touto druhou vrstvou ochrany můžete šifrovací klíč řídit prostřednictvím služby Azure Key Vault.

Důležité

Klíče spravované zákazníkem jsou dostupné pouze prostředky vytvořené po 11. květnu 2020. Pokud chcete použít CMK s funkcí Document Intelligence, budete muset vytvořit nový prostředek Document Intelligence. Po vytvoření prostředku můžete pomocí služby Azure Key Vault nastavit spravovanou identitu.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Pokud používáte klíče spravované zákazníkem, musíte k jejich uložení použít Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Key Vault ke generování klíčů. Prostředek služeb Azure AI a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných. Další informace o službě Key Vault najdete v tématu Co je Azure Key Vault?.

Když vytvoříte nový prostředek služeb Azure AI, bude vždy šifrovaný pomocí klíčů spravovaných Microsoftem. Při vytváření prostředku není možné povolit klíče spravované zákazníkem. Klíče spravované zákazníkem se ukládají ve službě Key Vault. Trezor klíčů je potřeba zřídit pomocí zásad přístupu, které udělují oprávnění ke klíči spravované identitě přidružené k prostředku služeb Azure AI. Spravovaná identita je dostupná až po vytvoření prostředku pomocí cenové úrovně, která se vyžaduje pro klíče spravované zákazníkem.

Povolení klíčů spravovaných zákazníkem také umožňuje spravovanou identitu přiřazenou systémem, což je funkce ID Microsoft Entra. Po povolení spravované identity přiřazené systémem se tento prostředek zaregistruje s ID Microsoft Entra. Po registraci se spravované identitě udělí přístup k trezoru klíčů, který je vybraný během nastavení klíče spravovaného zákazníkem.

Důležité

Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a všechna data zašifrovaná pomocí klíčů zákazníka už nebudou přístupná. Všechny funkce, které závisí na těchto datech, přestanou fungovat.

Důležité

Spravované identity v současné době nepodporují scénáře s využitím více adresářů. Při konfiguraci klíčů spravovaných zákazníkem na webu Azure Portal se spravovaná identita automaticky přiřadí na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo prostředek z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená k prostředku se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Microsoft Entra v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.

Konfigurace služby Key Vault

Pokud používáte klíče spravované zákazníkem, musíte nastavit dvě vlastnosti v trezoru klíčů, obnovitelné odstranění a nevyprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené, ale můžete je povolit v novém nebo existujícím trezoru klíčů pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Důležité

Pokud nejsou povolené vlastnosti obnovitelného odstranění a nevyprázdnit a klíč odstraníte, nemůžete obnovit data v prostředku služeb Azure AI.

Informace o povolení těchto vlastností ve stávajícím trezoru klíčů najdete v tématu Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.

Povolení klíčů spravovaných zákazníkem pro váš prostředek

Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

  1. Přejděte k prostředku služeb Azure AI.

  2. Na levé straně vyberte Šifrování.

  3. V části Typ šifrování vyberte Klíče spravované zákazníkem, jak je znázorněno na následujícím snímku obrazovky.

    Screenshot of the Encryption settings page for an Azure AI services resource. Under Encryption type, the Customer Managed Keys option is selected.

Zadání klíče

Po povolení klíčů spravovaných zákazníkem můžete zadat klíč, který se má přidružit k prostředku služeb Azure AI.

Zadání klíče jako identifikátoru URI

Chcete-li zadat klíč jako identifikátor URI, postupujte takto:

  1. Na webu Azure Portal přejděte do trezoru klíčů.

  2. V části Nastavení vyberte Klíče.

  3. Vyberte požadovaný klíč a pak ho vyberte, pokud chcete zobrazit jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.

  4. Zkopírujte hodnotu identifikátoru klíče, která poskytuje identifikátor URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Vraťte se k prostředku služeb Azure AI a pak vyberte Šifrování.

  6. V části Šifrovací klíč vyberte Zadat identifikátor URI klíče.

  7. Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. V části Předplatné vyberte předplatné, které obsahuje trezor klíčů.

  9. Uloží vaše změny.

Zadání klíče z trezoru klíčů

Pokud chcete zadat klíč z trezoru klíčů, nejprve se ujistěte, že máte trezor klíčů, který obsahuje klíč. Poté postupujte následovně:

  1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.

  2. V části Šifrovací klíč vyberte vybrat ze služby Key Vault.

  3. Vyberte trezor klíčů obsahující klíč, který chcete použít.

  4. Vyberte klíč, který chcete použít.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Uloží vaše změny.

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, aktualizujte prostředek služeb Azure AI tak, aby používal novou verzi. Postupujte takto:

  1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
  2. Zadejte identifikátor URI pro novou verzi klíče. Případně můžete vybrat trezor klíčů a pak ho znovu vybrat, abyste aktualizovali verzi.
  3. Uloží vaše změny.

Použití jiného klíče

Pokud chcete změnit klíč, který používáte k šifrování, postupujte takto:

  1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
  2. Zadejte identifikátor URI pro nový klíč. Případně můžete vybrat trezor klíčů a pak vybrat nový klíč.
  3. Uloží vaše změny.

Obměna klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem můžete ve službě Key Vault otočit podle zásad dodržování předpisů. Při obměně klíče je nutné aktualizovat prostředek služeb Azure AI tak, aby používal nový identifikátor URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče na webu Azure Portal, najdete v tématu Aktualizace verze klíče.

Obměna klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.

Odvolání přístupu ke klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu efektivně blokuje přístup ke všem datům v prostředku služeb Azure AI, protože šifrovací klíč je nepřístupný službami Azure AI.

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, prostředek služeb Azure AI se pak zašifruje pomocí klíčů spravovaných Microsoftem. Pokud chcete zakázat klíče spravované zákazníkem, postupujte takto:

  1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
  2. Zrušte zaškrtnutí políčka vedle možnosti Použít vlastní klíč.

Další kroky