Share via

Verschlüsselung ruhender Daten mithilfe benutzerdefinierter Befehle

  • Artikel

Wichtig

Benutzerdefinierte Befehle werden am 30. April 2026 eingestellt. Seit dem 30. Oktober 2023 können Sie keine neuen Anwendungen mit benutzerdefinierten Befehlen mehr in Speech Studio erstellen. Im Zusammenhang mit dieser Änderung wird LUIS am 1. Oktober 2025 eingestellt. Seit dem 1. April 2023 können Sie keine neuen LUIS-Ressourcen mehr erstellen.

Mit benutzerdefinierten Befehlen werden Ihre Daten beim Speichern in der Cloud automatisch verschlüsselt. Durch die Verschlüsselung mithilfe des Diensts für benutzerdefinierte Befehle werden Ihre Daten ausreichend geschützt, um den Sicherheits- und Complianceanforderungen Ihrer Organisation gerecht zu werden.

Hinweis

Die Verschlüsselung von LUIS-Ressourcen, die Ihrer Anwendung zugeordnet sind, wird vom Dienst für benutzerdefinierte Befehle nicht automatisch aktiviert. Bei Bedarf müssen Sie die Verschlüsselung Ihrer LUIS-Ressourcen mithilfe der Informationen in diesem Artikels aktivieren.

Informationen zur Azure KI Services-Verschlüsselung

Daten werden mittels FIPS 140-2-konformer 256-Bit-AES-Verschlüsselung ver- und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Wenn Sie benutzerdefinierte Befehle verwenden, speichert der Speech-Dienst die folgenden Daten in der Cloud:

  • JSON-Konfiguration hinter der Anwendung für benutzerdefinierte Befehle
  • LUIS-Schlüssel für Erstellung und Vorhersage

Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Sie können Ihr Abonnement jedoch auch mit eigenen Verschlüsselungsschlüsseln verwalten. Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMK) werden auch als Bring Your Own Key (BYOK) bezeichnet und bieten eine größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Wichtig

Kundenseitig verwaltete Schlüssel sind nur für Ressourcen erhältlich, die nach dem 27. Juni 2020 erstellt wurden. Sie müssen eine neue Speech-Ressource erstellen, um kundenseitig verwaltete Schlüssel mit dem Speech-Dienst verwenden zu können. Nachdem die Ressource erstellt wurde, können Sie mit Azure Key Vault Ihre verwaltete Identität einrichten.

Wenn Sie die Möglichkeit haben möchten, kundenseitig verwaltete Schlüssel zu verwenden, füllen Sie das Anforderungsformular für kundenseitig verwaltete Schlüssel aus, und reichen Sie es ein. Nach etwa drei bis fünf Werktagen erhalten Sie eine Rückmeldung zum Status Ihrer Anforderung. Je nach Bedarf werden Sie möglicherweise in eine Warteschlange eingereiht und erst dann zugelassen, wenn Speicherplatz verfügbar ist. Nachdem die Verwendung des CMK mit dem Speech-Dienst genehmigt wurde, müssen Sie im Azure-Portal eine neue Speech-Ressource erstellen.

Hinweis

Kundenseitig verwaltete Schlüssel (Customer-managed keys, CMK) werden nur für benutzerdefinierte Befehle unterstützt.

Custom Speech und benutzerdefinierte Stimme unterstützen weiterhin nur BYOS (Bring Your Own Storage).Weitere Informationen

Wenn Sie die angegebene Speech-Ressource für den Zugriff auf diesen Dienst verwenden, müssen die Complianceanforderungen erfüllt werden, indem BYOS explizit konfiguriert wird.

Von Kunden verwaltete Schlüssel mit Azure Key Vault

Sie müssen Azure Key Vault verwenden, um kundenseitig verwaltete Schlüssel zu speichern. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Die Speech-Ressource und der Schlüsseltresor müssen sich in der gleichen Region und im gleichen Microsoft Entra-Mandant befinden, können sich aber in verschiedenen Abonnements befinden. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).

Wenn eine neue Speech-Ressource erstellt wurde und zum Bereitstellen einer Anwendung für benutzerdefinierte Befehle verwendet wird, werden die Daten immer mit von Windows verwalteten Schlüsseln verschlüsselt. Es ist nicht möglich, zum Zeitpunkt der Ressourcenerstellung kundenseitig verwaltete Schlüssel zu aktivieren. Kundenseitig verwaltete Schlüssel werden in Azure Key Vault gespeichert. Für die Key Vault-Instanz müssen Zugriffsrichtlinien bereitgestellt werden, mit denen Schlüsselberechtigungen für die verwaltete Identität erteilt werden, die der Azure KI Services-Ressource zugeordnet ist. Die verwaltete Identität ist erst verfügbar, nachdem die Ressource mit dem erforderlichen Tarif für CMK erstellt wurde.

Durch das Aktivieren von kundenseitig verwalteten Schlüsseln wird außerdem eine systemseitig zugewiesene verwaltete Identität aktiviert. Dabei handelt es sich um ein Feature von Microsoft Entra ID. Sobald die dem System zugewiesene verwaltete Identität aktiviert wurde, ist diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde.

Wichtig

Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren nicht mehr.

Wichtig

Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie vom Kunden verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die der Ressource zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.

Konfigurieren von Azure Key Vault

Bei der Verwendung kundenseitig verwalteter Schlüssel müssen im Schlüsseltresor zwei Eigenschaften festgelegt werden: Vorläufiges Löschen und Nicht bereinigen. Diese Eigenschaften sind standardmäßig nicht aktiviert, können jedoch mithilfe von PowerShell oder der Azure CLI für einen neuen oder vorhandenen Schlüsseltresor aktiviert werden.

Wichtig

Wenn Sie die Eigenschaften Vorläufiges Löschen und Nicht Bereinigen nicht aktiviert haben und Ihren Schlüssel löschen, können Sie die Daten in Ihrer Azure KI Services-Ressource nicht wiederherstellen.

Informationen zum Aktivieren dieser Eigenschaften für einen vorhandenen Schlüsseltresor finden Sie in den Abschnitten Aktivieren des vorläufigen Löschens und Aktivieren des Bereinigungsschutzes in einem der folgenden Artikel:

Für die Azure Storage-Verschlüsselung werden nur RSA-Schlüssel der Größe 2048 unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel in Informationen zu Schlüsseln, Geheimnissen und Zertifikaten in Azure Key Vault.

Aktivieren von kundenseitig verwalteten Schlüsseln für Ihre Speech-Ressource

Um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren, gehen Sie folgendermaßen vor:

  1. Navigieren Sie zur Speech-Ressource.
  2. Wählen Sie auf der Seite Einstellungen für Ihre Speech-Ressource die Option Verschlüsselung aus. Wählen Sie wie im folgenden Screenshot gezeigt die Option Von Kunden verwaltete Schlüssel aus.

Screenshot showing how to select Customer Managed Keys

Angeben eines Schlüssels

Nachdem Sie „Von Kunden verwaltete Schlüssel“ aktiviert haben, können Sie einen Schlüssel angeben, der der Azure KI Services-Ressource zugeordnet werden soll.

Festlegen eines Schlüssels als URI

Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

  1. Um den Schlüssel-URI im Azure-Portal anzuzeigen, navigieren Sie zu Ihrem Schlüsseltresor, und wählen die Einstellung Schlüssel aus. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  2. Kopieren Sie den Wert im Feld Schlüsselbezeichner, das den URI enthält.

    Screenshot showing key vault key URI

  3. Klicken Sie in den Einstellungen für Ihren Speech-Dienst unter Verschlüsselung auf die Option Schlüssel-URI eingeben.

  4. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein.

  5. Geben Sie das Abonnement an, das den Schlüsseltresor enthält.

  6. Speichern Sie die Änderungen.

Festlegen eines Schlüssels aus einem Schlüsseltresor

Um einen Schlüssel aus einem Schlüsseltresor anzugeben, müssen Sie zunächst sicherstellen, dass Sie über einen Schlüsseltresor mit einem Schlüssel verfügen. Gehen Sie wie folgt vor, um einen Schlüssel aus einem Schlüsseltresor anzugeben:

  1. Wählen Sie die Option Select from Key Vault (Aus Schlüsseltresor wählen).

  2. Wählen Sie den Schlüsseltresor mit dem Schlüssel aus, den Sie verwenden möchten.

  3. Wählen Sie den Schlüssel aus dem Schlüsseltresor aus.

    Screenshot showing customer-managed key option

  4. Speichern Sie die Änderungen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Speech-Ressource, damit die neue Version verwendet wird. Folgen Sie diesen Schritten:

  1. Navigieren Sie zu Ihrer Speech-Ressource, und zeigen Sie die Einstellungen zur Verschlüsselung an.
  2. Geben Sie den URI für die neue Schlüsselversion ein. Alternativ können Sie den Schlüsseltresor und den Schlüssel erneut auswählen, um die Version zu aktualisieren.
  3. Speichern Sie die Änderungen.

Verwenden eines anderen Schlüssels

Gehen Sie wie folgt vor, um den für die Verschlüsselung verwendeten Schlüssel zu ändern:

  1. Navigieren Sie zu Ihrer Speech-Ressource, und zeigen Sie die Einstellungen zur Verschlüsselung an.
  2. Geben Sie den URI für den neuen Schlüssel ein. Alternativ können Sie den Schlüsseltresor und dann einen neuen Schlüssel auswählen.
  3. Speichern Sie die Änderungen.

Rotieren von kundenseitig verwalteten Schlüsseln

Sie können einen vom Kunden verwalteten Schlüssel in Azure Key Vault entsprechend Ihren Konformitätsrichtlinien rotieren. Wenn der Schlüssel rotiert wird, müssen Sie die Speech-Ressource so aktualisieren, dass der neue Schlüssel-URI verwendet wird. Informationen zum Aktualisieren der Ressource für die Verwendung einer neuen Version des Schlüssels im Azure-Portal finden Sie unter Aktualisieren der Schlüsselversion.

Durch Drehen des Schlüssels werden die Daten in der Ressource nicht erneut verschlüsselt. Es ist keine weitere Aktion vom Benutzer erforderlich.

Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel

Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Azure KI Services-Ressource blockiert, da Azure KI Services keinen Zugriff mehr auf den Verschlüsselungsschlüssel hat.

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihre Speech-Ressource mit von Microsoft verwalteten Schlüsseln verschlüsselt. Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel zu deaktivieren:

  1. Navigieren Sie zu Ihrer Speech-Ressource, und zeigen Sie die Einstellungen zur Verschlüsselung an.
  2. Deaktivieren Sie das Kontrollkästchen neben der Einstellung Eigenen Schlüssel verwenden.

Nächste Schritte