Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jazyk automaticky šifruje vaše data při zachování v cloudu. Šifrování jazyka chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů.
Šifrování nástrojů Foundry
Data se šifrují a dešifrují pomocí 256bitového FIPS šifrování kompatibilního AES s 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.
Správa šifrovacích klíčů
Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem (CMK). Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
Klíče spravované zákazníkem s využitím Azure Key Vaultu
K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů. Klíče spravované zákazníkem (CMK), označované také jako Přineste si vlastní klíč (BYOK), nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Prostředek Microsoft Foundry a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale mohou se nacházet v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?
Povolení klíčů spravovaných zákazníkem
Nový prostředek Foundry je vždy šifrovaný pomocí klíčů spravovaných Microsoftem. V době vytvoření prostředku není možné povolit klíče spravované zákazníkem. Klíče spravované zákazníkem se ukládají ve službě Azure Key Vault. Klíčové úložiště musí být nastaveno zásadami přístupu, které udělují oprávnění ke klíči spravované identitě, jež je přidružena k prostředku Foundry. Spravovaná identita je k dispozici až po vytvoření prostředku pomocí cenové úrovně pro CMK.
Informace o použití klíčů spravovaných zákazníkem se službou Azure Key Vault pro šifrování nástrojů Foundry najdete v tématu:
Povolení klíčů spravovaných zákazníkem také umožňuje spravovanou identitu přiřazenou systémem, což je funkce Microsoft Entra ID. Jakmile je systémem přiřazená spravovaná identita povolena, je tento prostředek zaregistrován u Microsoft Entra ID. Po registraci se spravované identitě udělí přístup ke službě Key Vault vybrané během nastavení klíče spravovaného zákazníkem. Další informace o spravovaných identitách.
Důležité
Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a veškerá data zašifrovaná pomocí klíčů zákazníka už nebudou přístupná. Všechny funkce závislé na těchto datech přestanou fungovat.
Důležité
Spravované identity v současné době nepodporují scénáře s využitím více adresářů. Při konfiguraci klíčů spravovaných zákazníkem na webu Azure Portal se spravovaná identita automaticky přiřadí pod kryty. Pokud přesunete předplatné, skupinu prostředků nebo prostředek do jiného adresáře Microsoft Entra, spravovaná identita se nepřenese do nového tenanta. Klíče spravované zákazníkem proto nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Microsoft Entra v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.
Ukládání klíčů spravovaných zákazníkem ve službě Azure Key Vault
Pokud chcete povolit klíče spravované zákazníkem, musíte k ukládání klíčů použít Azure Key Vault. U trezoru klíčů musíte povolit vlastnosti obnovitelného odstranění i nevyprázdnit .
Šifrování Foundry Tools podporuje pouze klíče velikosti 2048 RSA. Další informace o klíčích najdete v tématu Klíče služby Key Vault v tématu O klíčích, tajných klíčích a certifikátech služby Azure Key Vault.
Obměna klíčů spravovaných zákazníkem
Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Při otočení klíče je nutné aktualizovat prostředek Foundry pro použití nového URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče na webu Azure Portal, najdete v části Aktualizace verze klíče v části Konfigurace klíčů spravovaných zákazníkem pro Nástroje Foundry pomocí webu Azure Portal.
Obměna klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.
Odvolání přístupu ke klíčům spravovaným zákazníkem
Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu efektivně blokuje přístup ke všem datům v prostředku Foundry, protože šifrovací klíč je pro Foundry Tools nepřístupný.