Enkripsi Perintah Kustom saat data tidak aktif

Penting

Perintah Kustom akan dihentikan pada 30 April 2026. Mulai 30 Oktober 2023 Anda tidak dapat membuat aplikasi Perintah Kustom baru di Speech Studio. Terkait perubahan ini, LUIS akan dihentikan pada 1 Oktober 2025. Mulai 1 April 2023 Anda tidak dapat membuat sumber daya LUIS baru.

Perintah Kustom secara otomatis mengenkripsi data Anda saat disimpan ke cloud. Enkripsi layanan Perintah Kustom melindungi data Anda dan membantu Anda memenuhi komitmen kepatuhan dan keamanan organisasi Anda.

Catatan

Layanan Perintah Kustom tidak secara otomatis mengaktifkan enkripsi untuk sumber daya LUIS yang terkait dengan aplikasi Anda. Jika diperlukan, Anda harus mengaktifkan enkripsi untuk sumber daya LUIS Anda dari sini.

Tentang enkripsi layanan Azure AI

Data dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang sesuai dengan FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk Anda. Data Anda aman secara default, dan Anda tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.

Tentang manajemen kunci enkripsi

Saat Anda menggunakan Perintah Kustom, layanan ucapan menyimpan data berikut di cloud:

• Konfigurasi JSON di balik aplikasi Perintah Kustom
• Kunci penulisan dan prediksi LUIS

Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Namun, Anda juga dapat mengelola langganan menggunakan kunci enkripsi Anda sendiri. Kunci yang dikelola pelanggan (CMK),juga dikenal sebagai Bring Your Own Key (BYOK), menawarkan fleksibilitas yang lebih luas untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Penting

Kunci yang dikelola pelanggan hanya tersedia sumber daya yang dibuat setelah 27 Juni 2020. Untuk menggunakan CMK dengan layanan Ucapan, Anda harus membuat sumber daya Ucapan baru. Setelah sumber daya dibuat, Anda dapat menggunakan Azure Key Vault untuk menyiapkan identitas terkelola Anda.

Untuk meminta kemampuan menggunakan kunci yang dikelola pelanggan, isi dan kirimkan Formulir Permintaan Kunci yang Dikelola Pelanggan. Dibutuhkan sekitar 3-5 hari kerja untuk mendengar kembali status permintaan Anda. Tergantung pada permintaan, Anda mungkin ditempatkan dalam antrean dan disetujui saat ruang tersedia. Setelah disetujui untuk menggunakan CMK dengan layanan Ucapan, Anda perlu membuat sumber daya Ucapan baru dari portal Azure.

Catatan

Kunci yang dikelola pelanggan (CMK) hanya didukung untuk perintah kustom.

Ucapan kustom dan suara kustom masih hanya mendukung Bring Your Own Storage (BYOS).Pelajari lebih lanjut

Jika Anda menggunakan sumber daya ucapan yang diberikan untuk mengakses layanan ini, kebutuhan kepatuhan harus dipenuhi dengan mengonfigurasi BYOS secara eksplisit.

Kunci yang dikelola pelanggan dengan Azure Key Vault

Anda harus menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola pelanggan. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Sumber daya Ucapan dan brankas kunci harus berada di wilayah yang sama dan di penyewa Microsoft Entra yang sama, tetapi dapat berada di langganan yang berbeda. Untuk mengetahui informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?.

Saat sumber daya Ucapan baru dibuat dan digunakan untuk menyediakan aplikasi Perintah Kustom, data selalu dienkripsi menggunakan kunci yang dikelola Microsoft. Tidak dimungkinkan untuk mengaktifkan kunci yang dikelola pelanggan pada saat sumber daya dibuat. Kunci yang dikelola pelanggan disimpan di Azure Key Vault, dan brankas kunci harus disediakan dengan kebijakan akses yang memberikan izin kunci ke identitas terkelola yang terkait dengan sumber daya layanan Azure AI. Identitas terkelola hanya tersedia setelah sumber daya dibuat menggunakan Tingkat Harga yang diperlukan untuk CMK.

Mengaktifkan kunci yang dikelola pelanggan juga memungkinkan identitas terkelola yang ditetapkan sistem, fitur ID Microsoft Entra. Setelah identitas terkelola yang ditetapkan sistem diaktifkan, sumber daya ini terdaftar dengan ID Microsoft Entra. Setelah didaftarkan, identitas terkelola diberikan akses ke Key Vault yang dipilih selama penyiapan kunci yang dikelola pelanggan.

Penting

Jika Anda menonaktifkan identitas terkelola yang ditetapkan sistem, akses ke brankas kunci akan dihapus dan data apa pun yang dienkripsi dengan kunci pelanggan tidak akan dapat diakses lagi. Fitur apa pun yang bergantung pada data ini akan berhenti berfungsi.

Penting

Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Microsoft Azure, identitas terkelola secara otomatis ditetapkan di bawah penutup. Jika Anda kemudian memindahkan langganan, grup sumber daya, atau sumber daya dari satu direktori Microsoft Entra ke direktori lain, identitas terkelola yang terkait dengan sumber daya tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Entra di FAQ dan masalah umum terkait identitas terkelola untuk sumber daya Azure.

konfigurasikan Azure Key Vault

Menggunakan kunci yang dikelola pelanggan mengharuskan dua properti diatur dalam brankas kunci, Penghapusan Sementara dan Jangan Hapus menyeluruh. Properti ini tidak diaktifkan secara default, tetapi dapat diaktifkan menggunakan PowerShell atau Azure CLI pada brankas kunci baru atau yang sudah ada.

Penting

Jika Anda tidak mengaktifkan properti Penghapusan Sementara dan Jangan Hapus Menyeluruh dan Anda menghapus kunci, Anda tidak akan dapat memulihkan data di sumber daya layanan Azure AI Anda.

Untuk mempelajari cara mengaktifkan properti ini di brankas kunci yang sudah ada, lihat bagian dengan judul Mengaktifkan penghapusan sementara dan Mengaktifkan Perlindungan Penghapusan Menyeluruh di salah satu artikel berikut:

• Cara menggunakan penghapusan sementara dengan PowerShell.
• Cara menggunakan penghapusan sementara dengan CLI.

Hanya kunci RSA ukuran 2048 yang didukung dengan enkripsi Azure Storage. Untuk mengetahui informasi selengkapnya tentang kunci, lihat kunci Azure Key Vault di Tentang kunci, rahasia, dan sertifikat Azure Key Vault.

Aktifkan kunci yang dikelola pelanggan untuk sumber daya Ucapan Anda

Untuk mengaktifkan kunci yang dikelola pelanggan di portal Azure, ikuti langkah-langkah berikut:

1. Navigasi ke sumber daya Ucapan Anda.
2. Pada halaman Pengaturan untuk sumber daya Ucapan Anda, pilih Enkripsi. Pilih opsi Kunci Terkelola Pelanggan, seperti yang diperlihatkan dalam gambar berikut.

Menentukan kunci

Setelah mengaktifkan kunci yang dikelola pelanggan, Anda akan memiliki kesempatan untuk menentukan kunci yang akan dikaitkan dengan sumber daya layanan Azure AI.

Menentukan kunci sebagai URI

Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

1. Untuk menemukan URI kunci di portal Azure, navigasi ke brankas kunci Anda, dan pilih pengaturan Kunci. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

2. Salin nilai bidang Pengidentifikasi Kunci yang memberikan URI.

   

3. Dalam pengaturan Enkripsi untuk layanan Ucapan Anda, pilih opsi Masukkan URI kunci.

4. Tempel URI yang Anda salin ke bidang URI Kunci.

5. Tentukan langganan yang berisi brankas kunci.

6. Simpan perubahan.

Menentukan kunci dari brankas kunci

Untuk menentukan kunci dari brankas kunci, pertama-tama pastikan Anda memiliki brankas kunci yang berisi kunci. Untuk menentukan kunci dari brankas kunci, ikuti langkah-langkah berikut:

1. Pilih opsi Pilih dari Key Vault.

2. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan.

3. Pilih kunci dari brankas kunci.

   

4. Simpan perubahan.

Perbarui versi kunci

Saat Anda membuat versi kunci baru, perbarui sumber daya Ucapan untuk menggunakan versi baru tersebut. Ikuti langkah-langkah ini:

1. Navigasi ke sumber daya Ucapan Anda dan tampilkan pengaturan Enkripsi.
2. Masukkan URI untuk versi kunci baru. Atau, Anda dapat memilih brankas kunci dan kunci tersebut lagi untuk memperbarui versi.
3. Simpan perubahan.

Menggunakan kunci yang berbeda

Untuk mengubah kunci yang digunakan untuk enkripsi, ikuti langkah-langkah berikut:

1. Navigasi ke sumber daya Ucapan Anda dan tampilkan pengaturan Enkripsi.
2. Masukkan URI untuk kunci baru. Atau, Anda dapat memilih brankas kunci dan memilih kunci baru.
3. Simpan perubahan.

Memutar kunci yang dikelola pelanggan

Anda dapat memutar kunci yang dikelola pelanggan di Azure Key Vault sesuai dengan kebijakan kepatuhan Anda. Ketika kunci diputar, Anda harus memperbarui sumber daya Ucapan untuk menggunakan URI kunci baru. Untuk mempelajari cara memperbarui sumber daya untuk menggunakan versi baru kunci di portal Azure, lihat Memperbarui versi kunci.

Memutar kunci tidak memicu enkripsi ulang data dalam sumber daya. Tidak ada tindakan lebih lanjut yang diperlukan dari pengguna.

Mencabut akses ke kunci yang dikelola pelanggan

Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI. Untuk mengetahui informasi selengkapnya, lihat Azure Key Vault PowerShell atau Azure Key Vault CLI. Mencabut akses secara efektif memblokir akses ke semua data di sumber daya layanan Azure AI, karena kunci enkripsi tidak dapat diakses oleh layanan Azure AI.

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, sumber daya Ucapan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft. Untuk menonaktifkan kunci yang dikelola pelanggan, ikuti langkah-langkah berikut:

1. Navigasi ke sumber daya Ucapan Anda dan tampilkan pengaturan Enkripsi.
2. Batal pilih kotak centang di samping pengaturan Gunakan kunci Anda sendiri.

Langkah berikutnya

• Formulir Permintaan Kunci yang Dikelola Pelanggan Ucapan
• Pelajari lebih lanjut tentang Azure Key Vault
• Apa yang dimaksud identitas terkelola