Cifrado de datos en reposo del servicio Language Understanding
Importante
LUIS se retirará el 1 de octubre de 2025. Además, a partir del 1 de abril de 2023, ya no se podrán crear recursos de este servicio. Se recomienda migrar las aplicaciones de LUIS al reconocimiento del lenguaje conversacional para aprovechar el soporte continuo del producto y las capacidades multilingües.
El servicio Language Understanding cifra automáticamente los datos al guardarlos en la nube. El cifrado de Language Understanding protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización.
Acerca del cifrado de servicios de Azure AI
Los datos se cifran y descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.
Información sobre la administración de claves de cifrado
De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente (CMK). Las CMK ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar los controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.
Claves administradas por el cliente con Azure Key Vault
También tiene una opción para administrar su suscripción con sus propias claves. Las claves administradas por el cliente (CMK), que también se conocen como Bring Your Own Key (BYOK), ofrecen más flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.
Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.
Limitaciones
Existen algunas limitaciones al usar el nivel E0 con aplicaciones existentes o creadas anteriormente:
- Se bloqueará la migración a un recurso E0. Los usuarios solo podrán migrar sus aplicaciones a los recursos F0. Después de migrar un recurso existente a F0, puede crear un nuevo recurso en el nivel E0.
- Se bloqueará la migración de aplicaciones a un recurso E0 o desde él. Una solución alternativa a esta limitación consiste en exportar la aplicación existente e importarla como un recurso E0.
- No se admite la característica Bing Spell Check.
- El registro del tráfico de usuario final está deshabilitado si la aplicación es E0.
- La funcionalidad de preparación para la voz de Servicio de Bot de Azure AI no admite las aplicaciones del nivel de E0. Esta característica está disponible a través del Servicio de Bot de Azure AI, que no admite CMK.
- La funcionalidad de preparación para la voz del portal requiere Azure Blob Storage. Para más información, consulte Traiga su propio almacenamiento.
Habilitar claves administradas del cliente
Un nuevo recurso de servicios de Azure AI siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar claves administradas por el cliente en el momento en que se crea el recurso. Las claves administradas por el cliente se almacenan en Azure Key Vault y el almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de servicios de Azure AI. La identidad administrada solo está disponible después de crear el recurso con el plan de tarifa para CMK.
Para aprender a usar claves administradas por el cliente con Azure Key Vault para el cifrado de servicios de Azure AI, consulte:
Al habilitar las claves administradas por el cliente, también se habilitará una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, este recurso se registrará con Microsoft Entra ID. Tras su registro, se concederá a la identidad administrada acceso a la instancia de Key Vault seleccionada durante la configuración de la clave administrada por el cliente. Puede obtener más información acerca de las identidades administradas.
Importante
Si deshabilita las identidades administradas asignadas por el sistema, se quitará el acceso al almacén de claves y los datos cifrados con las claves de cliente dejarán de estar disponibles. Las características dependientes de estos datos dejarán de funcionar.
Importante
Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.
Almacenamiento de claves administradas por el cliente en Azure Key Vault
Para habilitar las claves administradas por el cliente, debe usar una instancia de Azure Key Vault para almacenarlas. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves.
Las claves RSA de tamaño 2048 son las únicas que admite el cifrado de servicios de Azure AI. Para más información acerca de las claves, consulte la sección Claves en Key Vault en Información acerca de claves, secretos y certificados de Azure Key Vault.
Rotación de claves administradas por el cliente
Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Si se rota la clave, es preciso actualizar el recurso de servicios de Azure AI para que use el identificador URI de la clave nueva. Para aprender a actualizar el recurso para que use una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave en Configuración de claves administradas por el cliente para servicios de Azure AI mediante Azure Portal.
La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es preciso que el usuario realice ninguna otra acción.
Revocación del acceso a las claves administradas por el cliente
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI, porque el servicio no puede acceder a la clave de cifrado.