Compartir vía


Cifrado de datos en reposo de Traductor

Translator cifra automáticamente sus datos cargados cuando se guardan en la nube, lo que ayuda a cumplir los objetivos de seguridad y cumplimiento normativo de la organización.

Acerca del cifrado de servicios de Azure AI

Los datos se cifran y descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.

Información sobre la administración de claves de cifrado

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. Si usa un plan de tarifa que admite claves administradas por el cliente, puede ver la configuración de cifrado del recurso en la sección Cifrado de Azure Portal, tal como se muestra en la siguiente imagen.

Visualización de la configuración de cifrado

En el caso de las suscripciones que solo admiten claves de cifrado administradas por Microsoft, no tendrá una sección Cifrado.

Claves administradas por el cliente con Azure Key Vault

De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente (CMK). Estas claves ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar los controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos. Si la opción CMK está configurada en su suscripción, dispondrá de un cifrado doble, lo que constituye un segundo nivel de protección, y al mismo tiempo podrá controlar la clave de cifrado mediante Azure Key Vault.

Siga estos pasos para habilitar las claves administradas por el cliente para Traductor:

  1. Cree su nuevo recurso Translator regional o de servicios de Azure AI regional. Las claves administradas por el cliente no funcionarán con un recurso global.
  2. Habilite la identidad administrada en Azure Portal y agregue la información de las claves administradas por el cliente.
  3. Cree un área de trabajo en Traductor personalizado y asocie esta información de suscripción.

Habilitar claves administradas del cliente

Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.

Un nuevo recurso de servicios de Azure AI siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar claves administradas por el cliente en el momento en que se crea el recurso. Las claves administradas por el cliente se almacenan en Azure Key Vault. El almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de servicios de Azure AI. La identidad administrada está disponible en cuanto se crea el recurso.

Para aprender a usar claves administradas por el cliente con Azure Key Vault para el cifrado de servicios de Azure AI, consulte:

Al habilitar las claves administradas por el cliente, también se habilitará una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, este recurso se registrará con Microsoft Entra ID. Tras su registro, se concederá a la identidad administrada acceso a la instancia de Key Vault seleccionada durante la configuración de la clave administrada por el cliente. Puede obtener más información acerca de las identidades administradas.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, se quitará el acceso al almacén de claves y los datos cifrados con las claves de cliente dejarán de estar disponibles. Las características dependientes de estos datos dejarán de funcionar. Se anulará la implementación de todos los modelos que se hayan implementado. Todos los datos cargados se eliminarán de Traductor personalizado. Si se vuelven a habilitar las identidades administradas, el modelo no se reimplementará automáticamente.

Importante

Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Almacenamiento de claves administradas por el cliente en Azure Key Vault

Para habilitar las claves administradas por el cliente, debe usar una instancia de Azure Key Vault para almacenarlas. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves.

Las claves RSA de tamaño 2048 son las únicas que admite el cifrado de servicios de Azure AI. Para más información acerca de las claves, consulte la sección Claves en Key Vault en Información acerca de claves, secretos y certificados de Azure Key Vault.

Nota

Si se elimina todo el almacén de claves, los datos no volverán a mostrarse y se anulará la implementación de todos los modelos. Todos los datos cargados se eliminarán de Traductor personalizado.

Revocación del acceso a las claves administradas por el cliente

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI y se anulará la implementación de los modelos, ya que los servicios no pueden acceder a la clave de cifrado. Los datos cargados también se eliminarán de Traductor personalizado.

Pasos siguientes