Šifrování neaktivních uložených dat ve službě Language Understanding
Důležité
Služba LUIS bude vyřazena 1. října 2025 a od 1. dubna 2023 nebudete moct vytvářet nové prostředky LUIS. Doporučujeme migrovat aplikace LUIS do porozumění konverzačnímu jazyku, abyste mohli využívat další podporu produktů a vícejazyčné funkce.
Služba Language Understanding automaticky šifruje vaše data, když se zachovají do cloudu. Šifrování služby Language Understanding chrání vaše data a pomáhá splnit závazky vaší organizace týkající se zabezpečení a dodržování předpisů.
Šifrování služeb Azure AI
Data se šifrují a dešifrují pomocí 256bitového šifrování AES vyhovující standardu FIPS 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.
Správa šifrovacích klíčů
Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem (CMK). Sady CMK nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
Klíče spravované zákazníkem s využitím Azure Key Vaultu
K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů. Klíče spravované zákazníkem (CMK), označované také jako Používání vlastního klíče (BYOK), nabízí větší flexibilitu při vytváření, obměně, zakazování a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.
K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Prostředek služeb Azure AI a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?
Omezení
Při použití úrovně E0 s existujícími nebo dříve vytvořenými aplikacemi platí určitá omezení:
- Migrace na prostředek E0 se zablokuje. Uživatelé budou moct migrovat své aplikace jenom do prostředků F0. Po migraci existujícího prostředku do F0 můžete vytvořit nový prostředek na úrovni E0.
- Přesunutí aplikací do nebo z prostředku E0 se zablokuje. Alternativním řešením pro toto omezení je exportovat existující aplikaci a importovat ji jako prostředek E0.
- Funkce Kontroly pravopisu Bingu není podporovaná.
- Protokolování provozu koncových uživatelů je zakázané, pokud je vaše aplikace E0.
- Funkce proprimování řeči z Azure AI Bot Service není podporovaná pro aplikace na úrovni E0. Tato funkce je dostupná prostřednictvím služby Azure AI Bot Service, která nepodporuje CMK.
- Funkce naprimování řeči z portálu vyžaduje službu Azure Blob Storage. Další informace najdete v tématu Používání vlastního úložiště.
Povolení klíčů spravovaných zákazníkem
Nový prostředek služeb Azure AI se vždy šifruje pomocí klíčů spravovaných Microsoftem. V době vytvoření prostředku není možné povolit klíče spravované zákazníkem. Klíče spravované zákazníkem se ukládají ve službě Azure Key Vault a trezor klíčů musí být zřízený pomocí zásad přístupu, které udělují oprávnění ke spravované identitě přidružené k prostředku služeb Azure AI. Spravovaná identita je k dispozici až po vytvoření prostředku pomocí cenové úrovně pro CMK.
Informace o tom, jak používat klíče spravované zákazníkem se službou Azure Key Vault pro šifrování služeb Azure AI, najdete tady:
Povolení klíčů spravovaných zákazníkem také umožní spravovanou identitu přiřazenou systémem, což je funkce ID Microsoft Entra. Jakmile je spravovaná identita přiřazená systémem povolená, tento prostředek se zaregistruje s ID Microsoft Entra. Po registraci bude spravovaná identita udělena přístup ke službě Key Vault vybrané během nastavení klíče spravovaného zákazníkem. Další informace o spravovaných identitách.
Důležité
Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a všechna data zašifrovaná pomocí klíčů zákazníka už nebudou přístupná. Všechny funkce závislé na těchto datech přestanou fungovat.
Důležité
Spravované identity v současné době nepodporují scénáře křížového adresáře. Při konfiguraci klíčů spravovaných zákazníkem na webu Azure Portal se spravovaná identita automaticky přiřadí pod kryty. Pokud následně přesunete předplatné, skupinu prostředků nebo prostředek z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená k prostředku se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Microsoft Entra v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.
Ukládání klíčů spravovaných zákazníkem ve službě Azure Key Vault
Pokud chcete povolit klíče spravované zákazníkem, musíte k ukládání klíčů použít Azure Key Vault. U trezoru klíčů musíte povolit vlastnosti obnovitelného odstranění i nevyprázdnit .
Šifrování služeb Azure AI podporuje pouze klíče RSA velikosti 2048. Další informace o klíčích najdete v tématu Klíče služby Key Vault v tématu Klíče služby Azure Key Vault, tajné kódy a certifikáty.
Obměna klíčů spravovaných zákazníkem
Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Při obměně klíče je nutné aktualizovat prostředek služeb Azure AI tak, aby používal nový identifikátor URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče na webu Azure Portal, najdete v části Aktualizace verze klíče v části Konfigurace klíčů spravovaných zákazníkem pro služby Azure AI pomocí webu Azure Portal.
Obměna klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.
Odvolání přístupu ke klíčům spravovaným zákazníkem
Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu efektivně blokuje přístup ke všem datům v prostředku služeb Azure AI, protože šifrovací klíč je nepřístupný službami Azure AI.