A Language Understanding szolgáltatás inaktív adatok titkosítása
Fontos
A LUIS 2025. október 1-jén megszűnik, és 2023. április 1-től nem hozhat létre új LUIS-erőforrásokat. Javasoljuk, hogy a LUIS-alkalmazásokat a beszélgetési nyelv megértésére migrálja, hogy kihasználhassa a terméktámogatás és a többnyelvű képességek előnyeit.
A Language Understanding szolgáltatás automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. A Language Understanding szolgáltatás titkosítása védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek.
Tudnivalók az Azure AI-szolgáltatások titkosításáról
Az adatok titkosítása és visszafejtése a FIPS 140-2 szabványnak megfelelő 256 bites AES-titkosítással történik. A titkosítás és a visszafejtés transzparens, vagyis a titkosítás és a hozzáférés kezelése az Ön számára. Az adatok alapértelmezés szerint védettek, a titkosítás használatához pedig sem a kódot, sem az alkalmazást nem kell módosítania.
Tudnivalók a titkosítási kulcsok kezeléséről
Alapértelmezés szerint az előfizetés a Microsoft által felügyelt titkosítási kulcsokat használja. Az előfizetést saját, ügyfél által felügyelt kulcsokkal (CMK-kkal) is kezelheti. A CMK-k nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlések létrehozásához, elforgatásához, letiltásához és visszavonásához. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.
Felhasználó által kezelt kulcsok az Azure Key Vaulttal
Az előfizetést saját kulcsokkal is kezelheti. Az ügyfél által felügyelt kulcsok (CMK-k), más néven a Saját kulcs (BYOK) nagyobb rugalmasságot biztosítanak a hozzáférési vezérlők létrehozásához, elforgatásához, letiltásához és visszavonásához. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.
A felhasználó által kezelt kulcsok tárolásához az Azure Key Vaultot kell használnia. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy az Azure Key Vault API-kkal kulcsokat hozhat létre. Az Azure AI-szolgáltatások erőforrásának és a kulcstartónak ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lennie, de különböző előfizetésekben lehetnek. További információ az Azure Key Vaultról: Mi az Az Azure Key Vault?.
Korlátozások
Az E0-szint meglévő/korábban létrehozott alkalmazásokkal való használatakor bizonyos korlátozások vonatkoznak:
- Az E0-erőforrásra való migrálás le lesz tiltva. A felhasználók csak az F0-erőforrásokba migrálhatják az alkalmazásaikat. Miután áttelepített egy meglévő erőforrást az F0-be, létrehozhat egy új erőforrást az E0-szinten.
- Az alkalmazások E0-erőforrásba való áthelyezése le lesz tiltva. Ennek a korlátozásnak a megkerülő módja a meglévő alkalmazás exportálása és E0-erőforrásként való importálása.
- A Bing Spell check funkció nem támogatott.
- A végfelhasználói forgalom naplózása le van tiltva, ha az alkalmazás E0.
- Az Azure AI Bot Service speech priming képessége nem támogatott az E0-szinten lévő alkalmazások esetében. Ez a funkció az Azure AI Bot Service-en keresztül érhető el, amely nem támogatja a CMK-t.
- A portál beszédfelismerési funkciójának használatához azure Blob Storage szükséges. További információ: saját tárhely használata.
Ügyfél által kezelt kulcsok engedélyezése
Egy új Azure AI-szolgáltatási erőforrás mindig a Microsoft által felügyelt kulcsokkal van titkosítva. Az erőforrás létrehozásakor nem lehet engedélyezni az ügyfél által kezelt kulcsokat. Az ügyfél által felügyelt kulcsokat az Azure Key Vault tárolja, a kulcstartót pedig olyan hozzáférési szabályzatokkal kell kiépíteni, amelyek kulcsengedélyeket biztosítanak az Azure AI-szolgáltatások erőforrásához társított felügyelt identitáshoz. A felügyelt identitás csak akkor érhető el, ha az erőforrás a CMK tarifacsomagjának használatával lett létrehozva.
Az azure AI-szolgáltatások titkosításához használt Azure Key Vault ügyfél által felügyelt kulcsainak használatáról a következő témakörben olvashat:
Az ügyfél által felügyelt kulcsok engedélyezése lehetővé teszi a rendszer által hozzárendelt felügyelt identitást is, amely a Microsoft Entra ID egyik funkciója. A rendszer által hozzárendelt felügyelt identitás engedélyezése után az erőforrás regisztrálva lesz a Microsoft Entra-azonosítóban. A regisztrációt követően a felügyelt identitás hozzáférést kap az ügyfél által felügyelt kulcs beállítása során kiválasztott Key Vaulthoz. További információ a felügyelt identitásokról.
Fontos
Ha letiltja a rendszer által hozzárendelt felügyelt identitásokat, a rendszer eltávolítja a kulcstartóhoz való hozzáférést, és az ügyfélkulcsokkal titkosított adatok többé nem lesznek elérhetők. Az adatoktól függő funkciók működése leáll.
Fontos
A felügyelt identitások jelenleg nem támogatják a címtárközi forgatókönyveket. Ha ügyfél által felügyelt kulcsokat konfigurál az Azure Portalon, a rendszer automatikusan hozzárendel egy felügyelt identitást a fedőlapok alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy az erőforrást egy Microsoft Entra-címtárból egy másikba, az erőforráshoz társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átadása a Microsoft Entra-címtárakközött gyakori kérdések és az Azure-erőforrások felügyelt identitásaival kapcsolatos ismert problémák.
Ügyfél által felügyelt kulcsok tárolása az Azure Key Vaultban
Az ügyfél által felügyelt kulcsok engedélyezéséhez egy Azure Key Vaultot kell használnia a kulcsok tárolásához. Engedélyeznie kell a Helyreállítható törlés és a Törlés tiltása tulajdonságot is a kulcstartón.
Az Azure AI-szolgáltatások titkosítása csak a 2048-es méretű RSA-kulcsokat támogatja. További információ a kulcsokról: Key Vault-kulcsok az Azure Key Vault-kulcsokról, titkos kulcsokról és tanúsítványokról.
Ügyfél által felügyelt kulcsok elforgatása
Az ügyfél által felügyelt kulcsokat a megfelelőségi szabályzatoknak megfelelően elforgathatja az Azure Key Vaultban. A kulcs elforgatásakor frissítenie kell az Azure AI-szolgáltatások erőforrását az új kulcs URI-jának használatához. Ha tudni szeretné, hogyan frissítheti az erőforrást a kulcs új verziójának használatára az Azure Portalon, olvassa el a kulcsverzió frissítése című szakaszt az Azure AI-szolgáltatások ügyfél által felügyelt kulcsainak konfigurálása az Azure Portal használatával című szakaszában.
A kulcs elforgatása nem váltja ki az erőforrásban lévő adatok újratitkosítását. A felhasználó nem igényel további műveletet.
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonása
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához használja a PowerShellt vagy az Azure CLI-t. További információ: Azure Key Vault PowerShell vagy Azure Key Vault CLI. A hozzáférés visszavonása hatékonyan blokkolja az Azure AI-szolgáltatások erőforrásában lévő összes adathoz való hozzáférést, mivel az Azure AI-szolgáltatások nem férnek hozzá a titkosítási kulcshoz.