Ügyfél által felügyelt kulcsok konfigurálása adattitkosításhoz az Azure AI Searchben

Az Azure AI Search szolgáltatás által felügyelt kulcsokkal automatikusan titkosítja az inaktív adatokat. Ha további védelemre van szükség, kiegészítheti az alapértelmezett titkosítást egy másik titkosítási réteggel az Azure Key Vaultban létrehozott és kezelt kulcsokkal.

Ez a cikk végigvezeti az ügyfél által felügyelt kulcs (CMK) vagy a "bring-your-own-key" (BYOK) titkosítás beállításának lépésein. Íme néhány szempont, amit szem előtt kell tartani:

• A CMK-titkosítás az egyes objektumokon történik. Ha cmK-t igényel a keresési szolgáltatásban, állítson be egy kényszerítési szabályzatot.

• A CMK-titkosítás az Azure Key Vaulttól függ. Létrehozhat saját titkosítási kulcsokat, és tárolhatja őket egy kulcstartóban, vagy az Azure Key Vault API-kkal létrehozhat titkosítási kulcsokat. Az Azure Key Vaultnak ugyanabban az előfizetésben és bérlőben kell lennie, mint az Azure AI Search. Az Azure AI Search rendszer- vagy felhasználó által felügyelt identitáson keresztüli kapcsolódással kéri le a felügyelt kulcsot. Ehhez a viselkedéshez mindkét szolgáltatásnak ugyanazt a bérlőt kell megosztania.

• A CMK-titkosítás egy objektum létrehozásakor válik működőképessé. A már létező objektumok nem titkosíthatók. A CMK-titkosítás akkor fordul elő, ha egy objektumot lemezre ment a rendszer, vagy inaktív adatokat a hosszú távú tároláshoz, vagy ideiglenes adatokat a rövid távú tároláshoz. A CMK használatával a lemez soha nem látja a titkosítatlan adatokat.

Feljegyzés

Ha egy index CMK-titkosítással van titkosítva, az csak akkor érhető el, ha a keresési szolgáltatás hozzáfér a kulcshoz. Ha a hozzáférés visszavonásra kerül, az index használhatatlan, és a szolgáltatás nem skálázható, amíg az indexet nem törlik, vagy vissza nem állítja a kulcshoz való hozzáférést.

CMK-titkosított objektumok

A titkosítható objektumok közé tartoznak az indexek, szinonimalisták, indexelők, adatforrások és képességkészletek. A titkosítás számításilag költséges a visszafejtéshez, így csak a bizalmas tartalmak titkosítva lesznek.

A titkosítás a következő tartalomon keresztül történik:

• Az indexeken és szinonimákon belüli összes tartalom, beleértve a leírásokat is.

• Az indexelők, adatforrások és készségkészletek esetében csak azok a mezők vannak titkosítva, amelyek kapcsolati sztring, leírásokat, kulcsokat és felhasználói bemeneteket tárolnak. A készségkészletek például Azure AI-szolgáltatási kulcsokkal rendelkeznek, egyes készségek pedig felhasználói bemeneteket, például egyéni entitásokat fogadnak el. A kulcsok és a felhasználói bemenetek mindkét esetben titkosítva vannak.

Teljes dupla titkosítás

A CMK-titkosítás bevezetésekor kétszer titkosítja a tartalmat. Az előző szakaszban feljegyzett objektumok és mezők esetében a tartalom először a CMK-val, másodszor pedig a Microsoft által felügyelt kulccsal van titkosítva. A tartalom duplán van titkosítva a hosszú távú tároláshoz használt adatlemezeken és a rövid távú tároláshoz használt ideiglenes lemezeken.

A CMK-titkosítás engedélyezése növeli az index méretét, és csökkenti a lekérdezési teljesítményt. Az eddigi megfigyelések alapján 30-60%-os növekedés várható a lekérdezési időkben, bár a tényleges teljesítmény az indexdefiníciótól és a lekérdezéstípusoktól függően változik. Mivel a teljesítmény csökken, javasoljuk, hogy csak olyan indexeken engedélyezze ezt a funkciót, amelyekhez valóban szükség van rá.

Bár a dupla titkosítás már minden régióban elérhető, a támogatás két fázisban lett bevezetve:

• Az első bevezetés 2020. augusztus 1-jén történt, és az alábbi öt régiót tartalmazza. az alábbi régiókban létrehozott Search szolgáltatás az adatlemezek esetében a CMK támogatott, ideiglenes lemezek esetében azonban nem:

  • USA 2. nyugati régiója
  • USA keleti régiója
  • USA déli középső régiója
  • USA-beli államigazgatás – Virginia
  • USA-beli államigazgatás – Arizona

• A 2021. május 13-i második bevezetés hozzáadta az ideiglenes lemezek titkosítását és a kiterjesztett CMK-titkosítást az összes támogatott régióhoz.

  Ha az első bevezetés során létrehozott szolgáltatásból származó CMK-t használ, és ideiglenes lemezeken is CMK-titkosítást szeretne, létre kell hoznia egy új keresési szolgáltatást a választott régióban, és újra üzembe kell helyeznie a tartalmat.

Előfeltételek

Ebben a forgatókönyvben a következő eszközöket és szolgáltatásokat használják.

• Azure AI Search számlázható szinten (alapszintű vagy annál magasabb, bármely régióban).

• Az Azure Key Vaultban kulcstartót hozhat létre az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával. Hozza létre az erőforrást ugyanabban az előfizetésben, mint az Azure AI Search. A kulcstartónak engedélyezve kell lennie a helyreállítható törlési és törlési védelemnek .

• Microsoft Entra-azonosító. Ha nincs ilyenje, állítson be egy új bérlőt.

Rendelkeznie kell egy keresési ügyfélprogrammal, amely képes létrehozni a titkosított objektumot. Ebben a kódban egy kulcstartókulcsra és egy alkalmazásregisztrációs információra hivatkozik. Ez a kód lehet egy működő alkalmazás vagy prototípuskód, például a DotNetHowToEncryptionUsingCMK C# kódmintája.

Tipp.

REST-ügyfél vagy Azure PowerShell használatával olyan indexeket és szinonimatérképeket hozhat létre, amelyek titkosítási kulcsparamétert tartalmaznak. Azure SDK-k is használhatók. A portál nem támogatja a kulcs indexekhez vagy szinonimatérképekhez való hozzáadását.

Key Vault tippek

Ha még nem használta az Azure Key Vaultot, tekintse át ezt a rövid útmutatót az alapvető feladatok megismeréséhez: Titkos kulcs beállítása és lekérése az Azure Key Vaultból a PowerShell használatával. Íme néhány tipp a Key Vault használatához:

• Használjon annyi kulcstartót, amennyit csak szeretne. A felügyelt kulcsok különböző kulcstartókban lehetnek. A keresési szolgáltatás több titkosított objektummal is rendelkezhet, amelyek mindegyike egy másik, ügyfél által felügyelt titkosítási kulccsal van titkosítva, különböző kulcstartókban tárolva.

• A Key Vaulton való naplózás engedélyezése a kulcshasználat figyelése érdekében.

• Ne felejtse el szigorú eljárásokat követni a kulcstartókulcsok és az Active Directory-alkalmazások titkos kulcsainak és regisztrációjának rutinforgatása során. A régiek törlése előtt mindig frissítse az összes titkosított tartalmat , hogy új titkos kulcsokat és kulcsokat használjon. Ha kihagyja ezt a lépést, a tartalom nem fejthető vissza.

1 – Törlés elleni védelem engedélyezése

Első lépésként győződjön meg arról, hogy a helyreállítható törlés és törlés elleni védelem engedélyezve van a kulcstartóban. Az ügyfél által felügyelt kulcsokkal történő titkosítás természete miatt senki sem tudja lekérni az adatokat, ha az Azure Key Vault-kulcsát törölték.

A Key Vault véletlen törlése által okozott adatvesztés elkerülése érdekében engedélyezni kell a helyreállítható törlést és a törlést a kulcstartóban. A helyreállítható törlés alapértelmezés szerint engedélyezve van, ezért csak akkor tapasztal problémákat, ha szándékosan letiltotta. A törlés elleni védelem alapértelmezés szerint nincs engedélyezve, de az ügyfél által felügyelt kulcstitkosításhoz szükséges az Azure AI Searchben.

Mindkét tulajdonságot beállíthatja a portál, a PowerShell vagy az Azure CLI parancsaival.

Azure Portalra

1. Jelentkezzen be az Azure Portalra , és nyissa meg a kulcstartó áttekintési oldalát.

2. Az Alapvető beállítások áttekintés lapján engedélyezze a helyreállítható törlést és a törlés elleni védelmet.

A PowerShell használata

1. Futtassa Connect-AzAccount az Azure-hitelesítő adatok beállítását.

2. Futtassa a következő parancsot a kulcstartóhoz való csatlakozáshoz, és cserélje le <vault_name> az érvényes nevet:

   $resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "<vault_name>").ResourceId
   

3. Az Azure Key Vault a helyreállítható törlés engedélyezésével jön létre. Ha le van tiltva a tárolóban, futtassa a következő parancsot:

   $resource.Properties | Add-Member -MemberType NoteProperty -Name "enableSoftDelete" -Value 'true'
   

4. Törlés elleni védelem engedélyezése:

   $resource.Properties | Add-Member -MemberType NoteProperty -Name "enablePurgeProtection" -Value 'true'
   

5. Mentse a frissítéseket:

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

Az Azure parancssori felület használata

• Ha telepítette az Azure CLI-t, a következő parancs futtatásával engedélyezheti a szükséges tulajdonságokat.

  az keyvault update -n <vault_name> -g <resource_group> --enable-soft-delete --enable-purge-protection
  

2 – Kulcs létrehozása a Key Vaultban

Ha már rendelkezik egy használni kívánt kulccsal az Azure Key Vaultban, hagyja ki a kulcsgenerálást, de gyűjtse össze a kulcsazonosítót. Erre az információra szüksége lesz egy titkosított objektum létrehozásakor.

1. Jelentkezzen be az Azure Portalra , és nyissa meg a kulcstartó áttekintési oldalát.

2. A bal oldalon válassza a Kulcsok lehetőséget, majd a + Létrehozás/Importálás lehetőséget.

3. A Kulcs létrehozása panel Beállítások listájában válassza ki a kulcs létrehozásához használni kívánt metódust. Létrehozhat egy új kulcsot, feltölthet egy meglévő kulcsot, vagy a Biztonsági másolat visszaállítása funkcióval kiválaszthatja a kulcs biztonsági másolatát.

4. Adja meg a kulcs nevét, és opcionálisan válasszon más kulcstulajdonságokat.

5. Válassza a Létrehozás lehetőséget az üzembe helyezés elindításához.

6. Jelölje ki a kulcsot, válassza ki az aktuális verziót, majd jegyezze fel a kulcsazonosítót. Az Uri kulcsértékből, a kulcsnévből és a kulcsverzióból áll. Az azonosítóra szüksége van egy titkosított index definiálásához az Azure AI Searchben.

   

3 – Biztonsági tag létrehozása

A titkosítási kulcs futásidőben való elérésére számos lehetőség közül választhat. A legegyszerűbb módszer a kulcs lekérése a keresési szolgáltatás felügyelt identitásával és engedélyével. Használhat rendszer- vagy felhasználó által felügyelt identitást is. Így kihagyhatja az alkalmazásregisztráció és az alkalmazás titkos kulcsainak lépéseit, és leegyszerűsítheti a titkosítási kulcs definícióját.

Másik lehetőségként létrehozhat és regisztrálhat egy Microsoft Entra-alkalmazást. A keresési szolgáltatás kérések esetén megadja az alkalmazásazonosítót.

A felügyelt identitás lehetővé teszi, hogy a keresési szolgáltatás hitelesítő adatok (ApplicationID vagy ApplicationSecret) kódban való tárolása nélkül hitelesítse magát az Azure Key Vaultban. Az ilyen típusú felügyelt identitás életciklusa a keresési szolgáltatás életciklusához van kötve, amely csak egy felügyelt identitással rendelkezhet. A felügyelt identitások működéséről további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Rendszer által felügyelt identitás

1. A keresési szolgáltatás megbízható szolgáltatássá alakítása.

   

A megközelítés alkalmazását megakadályozó feltételek a következők:

• Közvetlenül nem adhat hozzáférést a keresési szolgáltatásnak a kulcstartóhoz (például ha a keresési szolgáltatás egy másik Microsoft Entra ID-bérlőben található, mint az Azure Key Vault).

• Egyetlen keresési szolgáltatásra van szükség több titkosított index vagy szinonimatérkép üzemeltetéséhez, amelyek mindegyike egy másik kulcstartótól eltérő kulcsot használ, ahol minden kulcstartónak más identitást kell használnia a hitelesítéshez. Mivel a keresési szolgáltatás csak egy felügyelt identitással rendelkezhet, a több identitásra vonatkozó követelmény kizárja a forgatókönyv egyszerűsített megközelítését.

Felhasználó által felügyelt identitás (előzetes verzió)

Fontos

A felhasználó által felügyelt identitástámogatás nyilvános előzetes verzióban érhető el kiegészítő használati feltételek mellett.

A felügyeleti REST API 2021-04-01 előzetes verziója biztosítja ezt a funkciót.

1. Jelentkezzen be az Azure Portalra.

2. Válassza a + Új erőforrás létrehozása lehetőséget.

3. A "Search szolgáltatás és piactér" keresősávon keresse meg a "Felhasználó által hozzárendelt felügyelt identitás" kifejezést, majd válassza a Létrehozás lehetőséget.

4. Adjon egy leíró nevet az identitásnak.

5. Ezután rendelje hozzá a felhasználó által felügyelt identitást a keresési szolgáltatáshoz. Ez a 2021-04-01 előzetes verziójú felügyeleti API használatával végezhető el.

   Az identitástulajdonság egy típust és egy vagy több, felhasználó által hozzárendelt identitást használ:

   • típus az erőforráshoz használt identitás típusa. A "SystemAssigned, UserAssigned" típus magában foglalja a rendszer által létrehozott identitást és a felhasználó által hozzárendelt identitások készletét is. A "Nincs" típus eltávolítja az összes identitást a szolgáltatásból.
   • A userAssignedIdentities tartalmazza a felhasználó által felügyelt identitás részleteit.
     • Felhasználó által felügyelt identitásformátum:
       • /subscriptions/subscription ID/resourcegroups/resource group name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/managed identity name

   Példa egy felhasználó által felügyelt identitás keresési szolgáltatáshoz való hozzárendelésére:

   PUT https://management.azure.com/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Search/searchServices/[search service name]?api-version=2021-04-01-preview
   Content-Type: application/json
   
   {
     "location": "[region]",
     "sku": {
       "name": "[sku]"
     },
     "properties": {
       "replicaCount": [replica count],
       "partitionCount": [partition count],
       "hostingMode": "default"
     },
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
         "/subscriptions/[subscription ID]/resourcegroups/[resource group name]/providers/Microsoft.ManagedIdentity/userAssignedIdentities/[managed identity name]": {}
       }
     }
   } 
   

6. Frissítse a szakaszt "encryptionKey" identitástulajdonság használatára. A kérés keresési szolgáltatásba való küldésekor mindenképpen a 2021-04-01-es verziójú REST API-verziót használja.

   {
     "encryptionKey": {
       "keyVaultUri": "https://[key vault name].vault.azure.net",
       "keyVaultKeyName": "[key vault key name]",
       "keyVaultKeyVersion": "[key vault key version]",
       "identity" : { 
           "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
           "userAssignedIdentity" : "/subscriptions/[subscription ID]/resourceGroups/[resource group name]/providers/Microsoft.ManagedIdentity/userAssignedIdentities/[managed identity name]"
       }
     }
   }
   

Alkalmazás regisztrálása

1. Az Azure Portalon keresse meg az előfizetéséhez tartozó Microsoft Entra-erőforrást.

2. A bal oldalon a Kezelés területen válassza a Alkalmazásregisztrációk, majd az Új regisztráció lehetőséget.

3. Adjon egy nevet a regisztrációnak, esetleg a keresőalkalmazás nevéhez hasonló nevet. Válassza ki a pénztárgépet.

4. Az alkalmazásregisztráció létrehozása után másolja ki az alkalmazásazonosítót. Ezt a sztringet meg kell adnia az alkalmazásnak.

   Ha a DotNetHowToEncryptionUsingCMK-n lépeget, illessze be ezt az értéket a appsettings.json fájlba.

   

5. Ezután válassza a Tanúsítványok > titkos kulcsok lehetőséget a bal oldalon.

6. Válassza az Új titkos ügyfélkód lehetőséget. Adjon meg egy megjelenítendő nevet a titkos kódnak, és válassza a Hozzáadás lehetőséget.

7. Másolja ki az alkalmazás titkos kódjának másolatát. Ha lépeget a mintán, illessze be ezt az értéket a appsettings.json fájlba.

   

4 – Engedélyek megadása

Ebben a lépésben létrehoz egy hozzáférési szabályzatot a Key Vaultban. Ez a szabályzat engedélyt ad a Microsoft Entra ID azonosítóval regisztrált alkalmazásnak az ügyfél által felügyelt kulcs használatára.

A hozzáférési engedélyek bármikor visszavonhatók. A visszavonás után a kulcstartót használó keresési szolgáltatás indexe vagy szinonimatérképe használhatatlanná válik. A kulcstartó hozzáférési engedélyeinek későbbi visszaállítása visszaállítja az index- és szinonimatérkép-hozzáférést. További információ: Kulcstartó biztonságos elérése.

1. Nyissa meg a key vault áttekintési oldalát az Azure Portalon.

2. Válassza ki a bal oldali hozzáférési szabályzatokat , és válassza a + Létrehozás lehetőséget a Hozzáférési szabályzat létrehozása varázsló elindításához.

   

3. Az Engedélyek lapon válassza a Kulcsengedélyek, titkos kódok és tanúsítványengedélyek lekéréselehetőséget. Válassza a Kulcs és a Burkolókulcs feloldása lehetőséget a ** titkosítási műveletekhez a kulcson.

   

4. Válassza a Tovább lehetőséget.

5. Az Elv lapon keresse meg és válassza ki a keresőszolgáltatás által a titkosítási kulcs eléréséhez használt biztonsági tagot. Ez a keresési szolgáltatás vagy a regisztrált alkalmazás rendszer által felügyelt vagy felhasználó által felügyelt identitása lesz.

6. Válassza a Tovább és a Létrehozás lehetőséget.

Fontos

Az Azure AI Search titkosított tartalma úgy van konfigurálva, hogy egy adott Azure Key Vault-kulcsot használjon egy adott verzióval. Ha módosítja a kulcsot vagy a verziót, az indexet vagy szinonimát tartalmazó térképet frissíteni kell a használathoz az előző törlése előtt . Ennek elmulasztása miatt az index vagy szinonimák leképezése használhatatlanná válik. A kulcs elvesztése esetén nem tudja visszafejteni a tartalmat.

5 – Tartalom titkosítása

Objektum létrehozásakor a rendszer titkosítási kulcsokat ad hozzá. Ha ügyfél által felügyelt kulcsot szeretne hozzáadni egy indexhez, szinonimatérképhez, indexelőhöz, adatforráshoz vagy képességkészlethez, használja a Search REST API-t vagy egy Azure SDK-t egy olyan objektum létrehozásához, amely engedélyezve van a titkosítással. A portál nem engedélyezi a titkosítási tulajdonságokat az objektumok létrehozásakor.

1. Hívja meg a Create API-kat a encryptionKey tulajdonság megadásához:

   • Index létrehozása
   • Szinonimatérkép létrehozása
   • Indexelő létrehozása
   • Adatforrás létrehozása
   • Képességkészlet létrehozása.

2. Szúrja be a encryptionKey szerkezetet az objektumdefinícióba. Ez a tulajdonság egy első szintű tulajdonság, ugyanazon a szinten, mint a név és a leírás. Az alábbi REST-példák a tulajdonságelhelyezést mutatják be. Ha ugyanazt a tárolót, kulcsot és verziót használja, illessze be ugyanazt a "encryptionKey" szerkezetet az egyes objektumdefiníciókba.

   Az első példa egy felügyelt identitással csatlakozó keresési szolgáltatás titkosítási kulcsát mutatja be:

   {
     "encryptionKey": {
       "keyVaultUri": "https://demokeyvault.vault.azure.net",
       "keyVaultKeyName": "myEncryptionKey",
       "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
     }
   }
   

   A második példa a "hozzáférési hitelesítő adatok", amely akkor szükséges, ha regisztrált egy alkalmazást a Microsoft Entra-azonosítóban:

   {
     "encryptionKey": {
       "keyVaultUri": "https://demokeyvault.vault.azure.net",
       "keyVaultKeyName": "myEncryptionKey",
       "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
       "accessCredentials": {
         "applicationId": "00000000-0000-0000-0000-000000000000",
         "applicationSecret": "myApplicationSecret"
       }
     }
   }
   

Miután létrehozta a titkosított objektumot a keresési szolgáltatásban, ugyanúgy használhatja, mint bármely más objektumot. A titkosítás transzparens a felhasználó és a fejlesztő számára.

Feljegyzés

A kulcstartó egyik részlete sem tekinthető titkosnak, és könnyen lekérhető az Azure Portal megfelelő Azure Key Vault-oldalának böngészésével.

6 – Szabályzat beállítása

Az Azure-szabályzatok segítenek a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az Azure AI Search szolgáltatásszintű CMK-kényszerítéshez választható beépített szabályzattal rendelkezik.

Ebben a szakaszban a keresési szolgáltatás CMK-szabványát meghatározó szabályzatot állítja be. Ezután beállítja a keresési szolgáltatást, hogy kényszerítse ezt a szabályzatot.

1. Keresse meg a beépített szabályzatot a webböngészőben. Válassza a Hozzárendelés lehetőséget

   

2. Állítsa be a szabályzat hatókörét. A Paraméterek szakaszban törölje a jelet a Csak a paraméterek megjelenítése jelölőnégyzetből, és állítsa az Effektus megtagadás értékre.

   A kérelem kiértékelése során a megtagadási szabályzat definíciójának megfelelő kérés nem megfelelőként van megjelölve. Feltételezve, hogy a szolgáltatás szabványa a CMK-titkosítás, a "megtagadás" azt jelenti, hogy a CMK-titkosítást nem meghatározó kérések nem megfelelőek.

   

3. Fejezze be a szabályzat létrehozását.

4. Hívja meg a Services – Update API-t a CMK-szabályzatok szolgáltatásszinten történő érvényesítésének engedélyezéséhez.

PATCH https://management.azure.com/subscriptions/[subscriptionId]/resourceGroups/[resourceGroupName]/providers/Microsoft.Search/searchServices/[serviceName]?api-version=2022-11-01

{
    "properties": {
        "encryptionWithCmk": {
            "enforcement": "Enabled",
            "encryptionComplianceStatus": "Compliant"
        }
    }
}

REST-példák

Ez a szakasz több objektum JSON-ját mutatja be, így láthatja, hol található a "encryptionKey" az objektumdefinícióban.

Indextitkosítás

Az új index REST API-n keresztüli létrehozásának részletei az Index létrehozása (REST API) területen találhatók, ahol az egyetlen különbség a titkosítási kulcs részleteinek megadása az indexdefiníció részeként:

{
 "name": "hotels",
 "fields": [
  {"name": "HotelId", "type": "Edm.String", "key": true, "filterable": true},
  {"name": "HotelName", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": true, "facetable": false},
  {"name": "Description", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "en.lucene"},
  {"name": "Description_fr", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "fr.lucene"},
  {"name": "Category", "type": "Edm.String", "searchable": true, "filterable": true, "sortable": true, "facetable": true},
  {"name": "Tags", "type": "Collection(Edm.String)", "searchable": true, "filterable": true, "sortable": false, "facetable": true},
  {"name": "ParkingIncluded", "type": "Edm.Boolean", "filterable": true, "sortable": true, "facetable": true},
  {"name": "LastRenovationDate", "type": "Edm.DateTimeOffset", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Rating", "type": "Edm.Double", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Location", "type": "Edm.GeographyPoint", "filterable": true, "sortable": true}
 ],
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Most már elküldheti az indexlétrehozás kérését, majd megkezdheti az index normál használatát.

Szinonimák leképezésének titkosítása

Hozzon létre egy titkosított szinonimatérképet az Azure AI Search REST API szinonimatérképének létrehozásával. A "encryptionKey" tulajdonság használatával adja meg, hogy melyik titkosítási kulcsot használja.

{
  "name" : "synonymmap1",
  "format" : "solr",
  "synonyms" : "United States, United States of America, USA\n
  Washington, Wash. => WA",
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Most már elküldheti a szinonimatérkép-létrehozási kérelmet, majd elkezdheti használni a szokásos módon.

Adatforrás titkosítása

Titkosított adatforrás létrehozása az Adatforrás létrehozása (REST API) használatával. A "encryptionKey" tulajdonság használatával adja meg, hogy melyik titkosítási kulcsot használja.

{
  "name" : "datasource1",
  "type" : "azureblob",
  "credentials" :
  { "connectionString" : "DefaultEndpointsProtocol=https;AccountName=datasource;AccountKey=accountkey;EndpointSuffix=core.windows.net"
  },
  "container" : { "name" : "containername" },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Most már elküldheti az adatforrás-létrehozási kérelmet, majd elkezdheti használni a szokásos módon.

Képességkészlet titkosítása

Titkosított képességkészlet létrehozása a Skillset REST API-val. A "encryptionKey" tulajdonság használatával adja meg, hogy melyik titkosítási kulcsot használja.

{
    "name": "skillset1",
    "skills":  [ omitted for brevity ],
    "cognitiveServices": { omitted for brevity },
      "knowledgeStore":  { omitted for brevity  },
    "encryptionKey": (optional) { 
        "keyVaultKeyName": "myEncryptionKey",
        "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
        "keyVaultUri": "https://demokeyvault.vault.azure.net",
        "accessCredentials": {
            "applicationId": "00000000-0000-0000-0000-000000000000",
            "applicationSecret": "myApplicationSecret"}
    }
}

Most már elküldheti a készségkészlet létrehozásának kérését, majd elkezdheti használni a szokásos módon.

Indexelő titkosítása

Titkosított indexelő létrehozása az Indexelő REST API-val. A "encryptionKey" tulajdonság használatával adja meg, hogy melyik titkosítási kulcsot használja.

{
  "name": "indexer1",
  "dataSourceName": "datasource1",
  "skillsetName": "skillset1",
  "parameters": {
      "configuration": {
          "imageAction": "generateNormalizedImages"
      }
  },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Most már elküldheti az indexelő létrehozási kérését, majd elkezdheti használni a szokásos módon.

Fontos

Bár a "encryptionKey" nem adható hozzá a meglévő keresési indexekhez vagy szinonimatérképekhez, előfordulhat, hogy a három kulcstartó adatainak (például a kulcsverzió frissítésének) különböző értékeit adja meg. Amikor új Key Vault-kulcsra vagy új kulcsverzióra vált, a kulcsot használó keresési indexet vagy szinonimatérképet először frissíteni kell az új kulcs\verzió használatához az előző kulcs\verzió törlése előtt . Ennek elmulasztása használhatatlanná teszi az index- vagy szinonimatérképet, mivel a kulcshozzáférés elvesztése után nem tudja visszafejteni a tartalmat. Bár a key vault hozzáférési engedélyeinek későbbi visszaállítása visszaállítja a tartalomhozzáférést.

Titkosított tartalommal végzett munka

Az ügyfél által felügyelt kulcstitkosítás esetén az indexelés és a lekérdezések késését is észlelheti a további titkosítási/visszafejtési munka miatt. Az Azure AI Search nem naplózza a titkosítási tevékenységet, de a kulcshozzáférést a kulcstartó naplózásán keresztül figyelheti. Javasoljuk, hogy engedélyezze a naplózást a Key Vault konfigurációjának részeként.

A kulcsváltás várhatóan idővel megtörténik. A kulcsok elforgatásakor fontos követni a következő sorrendet:

1. Határozza meg az index vagy szinonimák leképezése által használt kulcsot.
2. Hozzon létre egy új kulcsot a Key Vaultban, de hagyja elérhetővé az eredeti kulcsot.
3. Frissítse a encryptionKey tulajdonságait egy index- vagy szinonimatérképen az új értékek használatához. Csak az eredetileg ezzel a tulajdonsággal létrehozott objektumok frissíthetők más érték használatára.
4. Tiltsa le vagy törölje az előző kulcsot a kulcstartóban. A kulcshozzáférés figyelése annak ellenőrzéséhez, hogy az új kulcs használatban van-e.

Teljesítménybeli okokból a keresési szolgáltatás akár több órán keresztül gyorsítótárazza a kulcsot. Ha új kulcs megadása nélkül tiltja le vagy törli a kulcsot, a lekérdezések ideiglenesen működnek, amíg a gyorsítótár le nem jár. Ha azonban a keresési szolgáltatás már nem tudja visszafejteni a tartalmat, a következő üzenet jelenik meg: "Hozzáférés tiltott. Előfordulhat, hogy a lekérdezési kulcsot visszavonták – próbálkozzon újra."

Következő lépések

Ha nem ismeri az Azure biztonsági architektúráját, tekintse át az Azure Security dokumentációját, és különösen ezt a cikket:

Inaktív adatok titkosítása