Šifrování neaktivních uložených dat v personalizaci

Personalizace je služba ve službách Azure Cognitive Services, která používá model strojového učení k poskytování aplikací s uživatelsky přizpůsobeným obsahem. Když personalizace zachová data do cloudu, zašifruje tato data. Toto šifrování chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů.

Informace o šifrování služeb Cognitive Services

Data se šifrují a dešifrují pomocí 256bitového šifrování AES kompatibilního se standardem FIPS 140-2. Šifrování a dešifrování je transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou ve výchozím nastavení zabezpečená. Abyste mohli šifrování využívat, nemusíte upravovat kód ani aplikace.

Správa šifrovacích klíčů

Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. Předplatné můžete spravovat také pomocí vlastních klíčů, které se nazývají klíče spravované zákazníkem. Když používáte klíče spravované zákazníkem, máte větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Můžete také auditovat šifrovací klíče, které používáte k ochraně dat. Pokud jsou klíče spravované zákazníkem nakonfigurované pro vaše předplatné, poskytuje se dvojité šifrování. Díky této druhé vrstvě ochrany můžete šifrovací klíč řídit prostřednictvím azure Key Vault.

Důležité

Klíče spravované zákazníkem jsou k dispozici pouze s cenovou úrovní E0. Pokud chcete požádat o možnost používat klíče spravované zákazníkem, vyplňte a odešlete formulář žádosti o klíč služby personalizace Customer-Managed. Trvá přibližně 3 až 5 pracovních dnů, než se ozve o stavu vaší žádosti. Pokud je poptávka vysoká, můžete být umístěni do fronty a schváleni, až bude prostor k dispozici.

Jakmile schválíte použití klíčů spravovaných zákazníkem s personalizátorem, vytvořte nový prostředek Personalizace a jako cenovou úroveň vyberte E0. Po vytvoření prostředku můžete pomocí Azure Key Vault nastavit spravovanou identitu.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Pokud používáte klíče spravované zákazníkem, musíte k jejich uložení použít Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API Key Vault k vygenerování klíčů. Prostředek služeb Cognitive Services a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Azure Active Directory (Azure AD), ale můžou být v různých předplatných. Další informace o Key Vault najdete v tématu Co je Azure Key Vault?.

Když vytvoříte nový prostředek služeb Cognitive Services, bude vždy šifrovaný pomocí klíčů spravovaných Microsoftem. Při vytváření prostředku není možné povolit klíče spravované zákazníkem. Klíče spravované zákazníkem se ukládají do Key Vault. Trezor klíčů je potřeba zřídit pomocí zásad přístupu, které udělují oprávnění ke spravované identitě přidružené k prostředku služeb Cognitive Services. Spravovaná identita je dostupná až po vytvoření prostředku pomocí cenové úrovně, která se vyžaduje pro klíče spravované zákazníkem.

Povolení klíčů spravovaných zákazníkem také umožňuje spravovanou identitu přiřazenou systémem, funkci Azure AD. Po povolení spravované identity přiřazené systémem se tento prostředek zaregistruje v Azure AD. Po registraci má spravovaná identita přístup k trezoru klíčů, který je vybraný během nastavení klíče spravovaného zákazníkem.

Důležité

Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a všechna data zašifrovaná pomocí klíčů zákazníka už nejsou přístupná. Všechny funkce, které závisí na těchto datech, přestanou fungovat.

Důležité

Spravované identity v současné době nepodporují scénáře napříč adresáři. Při konfiguraci klíčů spravovaných zákazníkem v Azure Portal se spravovaná identita automaticky přiřadí na pozadí. Pokud následně přesunete předplatné, skupinu prostředků nebo prostředek z jednoho adresáře Azure AD do jiného, spravovaná identita přidružená k prostředku se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Azure AD v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.

Konfigurace Key Vault

Pokud používáte klíče spravované zákazníkem, musíte v trezoru klíčů nastavit dvě vlastnosti, obnovitelné odstranění a neprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené, ale můžete je povolit v novém nebo existujícím trezoru klíčů pomocí Azure Portal, PowerShellu nebo Azure CLI.

Důležité

Pokud nejsou povolené vlastnosti obnovitelného odstranění a nevyprázdnit a klíč odstraníte, nemůžete obnovit data v prostředku služeb Cognitive Services.

Informace o povolení těchto vlastností ve stávajícím trezoru klíčů najdete v tématu Správa obnovení Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.

Povolení klíčů spravovaných zákazníkem pro váš prostředek

Pokud chcete v Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

  1. Přejděte k prostředku služeb Cognitive Services.

  2. Na levé straně vyberte Šifrování.

  3. V části Typ šifrování vyberte klíče spravované zákazníkem, jak je znázorněno na následujícím snímku obrazovky.

    Snímek obrazovky se stránkou Nastavení šifrování prostředku služeb Cognitive Services V části Typ šifrování je vybraná možnost Klíče spravované zákazníkem.

Zadání klíče

Po povolení klíčů spravovaných zákazníkem můžete zadat klíč, který se má přidružit k prostředku služeb Cognitive Services.

Zadání klíče jako identifikátoru URI

Pokud chcete zadat klíč jako identifikátor URI, postupujte takto:

  1. V Azure Portal přejděte do trezoru klíčů.

  2. V části Nastavení vyberte Klíče.

  3. Vyberte požadovaný klíč a pak ho vyberte a zobrazte jeho verze. Výběrem klíčové verze zobrazíte nastavení této verze.

  4. Zkopírujte hodnotu identifikátoru klíče , která poskytuje identifikátor URI.

    Snímek obrazovky se stránkou Azure Portal pro verzi klíče Pole Identifikátor klíče obsahuje zástupný symbol identifikátoru URI klíče.

  5. Zpět k prostředku služeb Cognitive Services a pak vyberte Šifrování.

  6. V části Šifrovací klíč vyberte Enter key URI.

  7. Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče .

    Snímek obrazovky se stránkou Šifrování prostředku služeb Cognitive Services Je vybrána možnost Zadat identifikátor URI klíče a pole Identifikátor URI klíče obsahuje hodnotu.

  8. V části Předplatné vyberte předplatné, které obsahuje trezor klíčů.

  9. Uložte provedené změny.

Zadání klíče z trezoru klíčů

Pokud chcete zadat klíč z trezoru klíčů, nejprve se ujistěte, že máte trezor klíčů, který obsahuje klíč. Potom postupujte podle těchto kroků:

  1. Přejděte k prostředku služeb Cognitive Services a pak vyberte Šifrování.

  2. V části Šifrovací klíč vyberte možnost Vybrat z Key Vault.

  3. Vyberte trezor klíčů, který obsahuje klíč, který chcete použít.

  4. Vyberte klíč, který chcete použít.

    Snímek obrazovky se stránkou Vybrat klíč z Azure Key Vault v Azure Portal Pole Předplatné, Trezor klíčů, Klíč a Verze obsahují hodnoty.

  5. Uložte provedené změny.

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, aktualizujte prostředek Cognitive Services tak, aby používal novou verzi. Postupujte takto:

  1. Přejděte k prostředku služeb Cognitive Services a pak vyberte Šifrování.
  2. Zadejte identifikátor URI nové verze klíče. Případně můžete vybrat trezor klíčů a pak klíč znovu vybrat a aktualizovat verzi.
  3. Uložte provedené změny.

Použití jiného klíče

Pokud chcete změnit klíč, který používáte pro šifrování, postupujte takto:

  1. Přejděte k prostředku služeb Cognitive Services a pak vyberte Šifrování.
  2. Zadejte identifikátor URI nového klíče. Případně můžete vybrat trezor klíčů a pak vybrat nový klíč.
  3. Uložte provedené změny.

Obměna klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem můžete otočit v Key Vault podle zásad dodržování předpisů. Když se klíč otočí, musíte aktualizovat prostředek služeb Cognitive Services tak, aby používal nový identifikátor URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče v Azure Portal, najdete v tématu Aktualizace verze klíče.

Obměna klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.

Odvolání přístupu k klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup k klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v tématu Azure Key Vault PowerShell nebo Azure Key Vault CLI. Odvolání přístupu efektivně blokuje přístup ke všem datům v prostředku služeb Cognitive Services, protože šifrovací klíč je nepřístupný službou Cognitive Services.

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, prostředek služeb Cognitive Services se pak zašifruje pomocí klíčů spravovaných Microsoftem. Pokud chcete zakázat klíče spravované zákazníkem, postupujte takto:

  1. Přejděte k prostředku služeb Cognitive Services a pak vyberte Šifrování.
  2. Zrušte zaškrtnutí políčka vedle možnosti Použít vlastní klíč.

Další kroky