Cifrado de datos en reposo de Documento de inteligencia
Este contenido se aplica a: v4.0 (versión preliminar) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Importante
- En las versiones anteriores de las claves administradas por el cliente solo se cifraban los modelos.
*A partir de la versión
07/31/2023
, todos los recursos nuevos usan claves administradas por el cliente para cifrar los modelos y los resultados del documento. A fin de actualizar un servicio existente para cifrar los modelos y los datos, basta con deshabilitar y volver a habilitar la clave administrada por el cliente.
Documento de inteligencia de Azure AI cifra automáticamente los datos al almacenarlos en la nube. El cifrado de Documento de inteligencia protege los datos para ayudarle a satisfacer los requisitos de cumplimiento normativo y de seguridad de la organización.
Acerca del cifrado de servicios de Azure AI
Los datos se cifran y se descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Los datos son seguros de forma predeterminada. No es necesario modificar el código ni las aplicaciones para utilizar el cifrado.
Información sobre la administración de claves de cifrado
De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente. Al usar claves administradas por el cliente, tiene mayor flexibilidad en la forma de crear, rotar, deshabilitar y revocar los controles de acceso. También puede auditar las claves de cifrado que se usan para proteger los datos. Si las claves administradas por el cliente están configuradas para la suscripción, se proporciona cifrado doble. Con esta segunda capa de protección, puede controlar la clave de cifrado a través de Azure Key Vault.
Importante
Las claves que administre el cliente solo serán aquellos recursos disponibles que se hayan creado después del 11 de mayo de 2020. Para usar CMK con Documento de inteligencia, deberá crear un nuevo recurso de Documento de inteligencia. Una vez creado el recurso, puede usar Azure Key Vault para configurar la identidad administrada.
Claves administradas por el cliente con Azure Key Vault
Al usar claves administradas por el cliente, debe usar Azure Key Vault para almacenarlas. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Key Vault, consulte ¿Qué es Azure Key Vault?
Al crear un nuevo recurso de servicios de Azure AI, siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar las claves administradas por el cliente al crear el recurso. Las claves administradas por el cliente se almacenan en Key Vault. El almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de servicios de Azure AI. La identidad administrada solo está disponible después de crear el recurso con el plan de tarifa requerido para las claves administradas por el cliente.
Al habilitar las claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Después de que se habilite la identidad administrada asignada por el sistema, este recurso se registra con Microsoft Entra ID. Tras su registro, se concede a la identidad administrada acceso al almacén de claves seleccionado durante la configuración de la clave administrada por el cliente.
Importante
Si deshabilita las identidades administradas asignadas por el sistema, se quita el acceso al almacén de claves y los datos cifrados con las claves de cliente dejan de estar disponibles. Las características que dependen de estos datos dejan de funcionar.
Importante
Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada que está asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.
Configuración de Key Vault
Al usar las claves administradas por el cliente, debe establecer dos propiedades en el almacén de claves, Eliminación temporal y No purgar. Estas propiedades no están habilitadas de manera predeterminada, pero puede habilitarlas en un almacén de claves nuevo o existente mediante Azure Portal, PowerShell o la CLI de Azure.
Importante
Si no están habilitadas las propiedades Eliminación temporal y No purgar y elimina la clave, no podrá recuperar los datos del recurso de servicios de Azure AI.
Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.
Habilitación de claves administradas por el cliente para el recurso
Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:
Vaya al recurso de servicios de Azure AI.
A la izquierda, seleccione Cifrado.
En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en la captura de pantalla siguiente.
Especificar una clave
Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla al recurso de servicios de Azure AI.
Especificación de una clave como URI
Para especificar una clave como URI, siga estos pasos:
En Azure Portal, vaya al almacén de claves.
En Configuración, seleccione Claves.
Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.
Copie el valor Identificador de clave, que proporciona el URI.
Vuelva al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
En Clave de cifrado, seleccione Escribir el URI de la clave.
Pegue el identificador URI que ha copiado en el cuadro URI de clave.
En Suscripción, seleccione la suscripción que contiene el almacén de claves.
Guarde los cambios.
Especificación de una clave a partir de un almacén de claves
Para especificar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:
Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
En Clave de cifrado, seleccione Seleccionar de Key Vault.
Seleccione el almacén de claves que contiene la clave que quiere usar.
Seleccione la clave que quiera usar.
Guarde los cambios.
Actualización de la versión de la clave
Al crear una versión de una clave, actualice el recurso de servicios de Azure AI para usar la nueva versión. Siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Escriba el identificador URI de la nueva versión de la clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
- Guarde los cambios.
Uso de una clave distinta
Para cambiar la clave que se usa para el cifrado, siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Escriba el identificador URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
- Guarde los cambios.
Rotación de claves administradas por el cliente
Las claves administradas por el cliente se pueden rotar en Key Vault según las directivas de cumplimiento. Si se rota la clave, es preciso actualizar el recurso de servicios de Azure AI para que use el identificador URI de la clave nueva. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave.
La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es necesaria ninguna otra acción por parte del usuario.
Revocación del acceso a las claves administradas por el cliente
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI, porque el servicio no puede acceder a la clave de cifrado.
Deshabilitación de claves administradas por el cliente
Cuando se deshabilitan las claves administradas por el cliente, el recurso de servicios de Azure AI se cifra entonces con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Desactive la casilla junto a Usar su propia clave.