Evento
Construír aplicacións e axentes de IA
Mar 17, 9 PM - Mar 21, 10 AM
Únete á serie de encontros para construír solucións de IA escalables baseadas en casos de uso do mundo real con compañeiros desenvolvedores e expertos.
Rexistrar agoraCifrado de datos en reposo de Custom Vision
Custom Vision de Azure AI cifra automáticamente los datos al guardarlos en la nube. Ese cifrado le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización.
Los datos se cifran y se descifran con el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Los datos son seguros de forma predeterminada. No es necesario modificar el código ni las aplicaciones para utilizar el cifrado.
De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente. Al usar claves administradas por el cliente, tiene mayor flexibilidad en la forma de crear, rotar, deshabilitar y revocar los controles de acceso. También puede auditar las claves de cifrado que se usan para proteger los datos. Si las claves administradas por el cliente están configuradas para la suscripción, se proporciona cifrado doble. Con esta segunda capa de protección, puede controlar la clave de cifrado a través de Azure Key Vault.
Importante
Las claves que administre el cliente solo serán aquellos recursos disponibles que se hayan creado después del 11 de mayo de 2020. Para usar CMK con Custom Vision, debe crear un nuevo recurso de Custom Vision. Una vez creado el recurso, puede usar Azure Key Vault para configurar la identidad administrada.
Al usar claves administradas por el cliente, debe usar Azure Key Vault para almacenarlas. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Key Vault, consulte ¿Qué es Azure Key Vault?
Al crear un nuevo recurso de servicios de Azure AI, siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar las claves administradas por el cliente al crear el recurso. Las claves administradas por el cliente se almacenan en Key Vault. El almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de servicios de Azure AI. La identidad administrada solo está disponible después de crear el recurso con el plan de tarifa requerido para las claves administradas por el cliente.
Al habilitar las claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Después de que se habilite la identidad administrada asignada por el sistema, este recurso se registra con Microsoft Entra ID. Tras su registro, se concede a la identidad administrada acceso al almacén de claves seleccionado durante la configuración de la clave administrada por el cliente.
Importante
Si deshabilita las identidades administradas asignadas por el sistema, se quita el acceso al almacén de claves y los datos cifrados con las claves de cliente dejan de estar disponibles. Las características que dependen de estos datos dejan de funcionar.
Importante
Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada que está asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.
Al usar las claves administradas por el cliente, debe establecer dos propiedades en el almacén de claves, Eliminación temporal y No purgar. Estas propiedades no están habilitadas de manera predeterminada, pero puede habilitarlas en un almacén de claves nuevo o existente mediante Azure Portal, PowerShell o la CLI de Azure.
Importante
Si no están habilitadas las propiedades Eliminación temporal y No purgar y elimina la clave, no podrá recuperar los datos del recurso de servicios de Azure AI.
Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.
Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:
Vaya al recurso de servicios de Azure AI.
A la izquierda, seleccione Cifrado.
En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en la captura de pantalla siguiente.
Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla al recurso de servicios de Azure AI.
Para especificar una clave como URI, siga estos pasos:
En Azure Portal, vaya al almacén de claves.
En Configuración, seleccione Claves.
Seleccione la clave que desee para ver sus versiones. Seleccione cualquiera de las versiones de clave para ver su configuración.
Copie el valor Identificador de clave, que proporciona el URI.
Vuelva al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
En Clave de cifrado, seleccione Escribir el URI de la clave.
Pegue el identificador URI que ha copiado en el cuadro URI de clave.
En Suscripción, seleccione la suscripción que contiene el almacén de claves.
Guarde los cambios.
Para especificar una clave a partir de un almacén de claves, asegúrese de tener un almacén de claves que contenga una clave. A continuación, siga estos pasos:
Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
En Clave de cifrado, seleccione Seleccionar de Key Vault.
Seleccione el almacén de claves que contiene la clave que quiere usar.
Seleccione la clave que quiera usar.
Guarde los cambios.
Al crear una versión de una clave, actualice el recurso de servicios de Azure AI para usar la nueva versión. Siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Escriba el identificador URI de la nueva versión de la clave. Como alternativa, puede seleccionar el almacén de claves y, luego, la clave de nuevo para actualizar la versión.
- Guarde los cambios.
Para cambiar la clave que se usa para el cifrado, siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Escriba el identificador URI de la nueva clave. Otra opción es seleccionar el almacén de claves y, luego, seleccionar una clave nueva.
- Guarde los cambios.
Las claves administradas por el cliente se pueden rotar en Key Vault según las directivas de cumplimiento. Si se rota la clave, es preciso actualizar el recurso de servicios de Azure AI para que use el identificador URI de la clave nueva. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en Azure Portal, consulte la sección Actualización de la versión de la clave.
La rotación de la clave no desencadena un nuevo cifrado de los datos del recurso. No es necesaria ninguna otra acción por parte del usuario.
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI, porque el servicio no puede acceder a la clave de cifrado.
Cuando se deshabilitan las claves administradas por el cliente, el recurso de servicios de Azure AI se cifra entonces con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:
- Vaya al recurso de servicios de Azure AI y, luego, seleccione Cifrado.
- Desactive la casilla junto a Usar su propia clave.
- Para obtener una lista completa de los servicios que admiten CMK, consulte Claves administradas por el cliente para servicios de Azure AI
- ¿Qué es Azure Key Vault?
Recursos adicionais
Formación
Certificación
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.