Enkripsi data tidak aktif di Personalizer

Personalizer adalah layanan di Azure Cognitive Services yang menggunakan model pembelajaran mesin untuk menyediakan aplikasi dengan konten yang disesuaikan pengguna. Saat Personalizer menyimpan data ke cloud, Personalizer mengenkripsi data tersebut. Enkripsi ini melindungi data dan membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda.

Tentang enkripsi Cognitive Services

Data dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang sesuai dengan FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk Anda. Data Anda aman secara default. Anda tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.

Tentang manajemen kunci enkripsi

Secara default, langganan Anda menggunakan kunci enkripsi yang dikelola Microsoft. Anda juga dapat mengelola langganan dengan kunci Anda sendiri, yang disebut kunci yang dikelola pelanggan. Saat Anda menggunakan kunci yang dikelola pelanggan, Anda memiliki fleksibilitas yang lebih besar terkait cara Anda membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda. Jika kunci yang dikelola pelanggan dikonfigurasi untuk langganan Anda, enkripsi ganda disediakan. Dengan lapisan perlindungan kedua ini, Anda dapat mengontrol kunci enkripsi melalui Azure Key Vault.

Penting

Kunci yang dikelola pelanggan hanya tersedia pada tingkat harga E0. Untuk meminta kemampuan menggunakan kunci yang dikelola pelanggan, isi dan kirimkanFormulir Permintaan Kunci yang Dikelola Pelanggan Layanan Personalizer. Dibutuhkan sekitar 3-5 hari kerja untuk mendapatkan informasi terbaru status permintaan Anda. Jika permintaan sedang tinggi, Anda mungkin ditempatkan dalam antrean dan disetujui saat ruang tersedia.

Setelah Anda disetujui untuk menggunakan kunci yang dikelola pelanggan dengan Personalizer, buat sumber daya Personalizer baru dan pilih E0 sebagai tingkat harga. Setelah membuat sumber daya tersebut, Anda dapat menggunakan Azure Key Vault untuk menyiapkan identitas terkelola Anda.

Kunci yang dikelola pelanggan dengan Azure Key Vault

Saat menggunakan kunci yang dikelola pelanggan, Anda harus menggunakan Azure Key Vault untuk menyimpannya. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan API Key Vault untuk membuat kunci. Sumber daya Azure Cognitive Services dan brankas kunci harus berada di wilayah yang sama dan di penyewa Azure Active Directory (Azure AD) yang sama, tetapi dapat berada di langganan yang berbeda. Untuk informasi lebih lanjut tentang Key Vault, lihat Apa itu Azure Key Vault?.

Saat membuat sumber daya Cognitive Services baru, sumber daya tersebut selalu dienkripsi menggunakan kunci yang dikelola Microsoft. Kunci yang dikelola pelanggan tidak dapat diaktifkan saat Anda membuat sumber daya. Kunci yang dikelola pelanggan disimpan di Key Vault. Brankas kunci harus diprovisikan dengan kebijakan akses yang memberikan izin utama ke identitas terkelola yang terkait dengan sumber daya Cognitive Services. Identitas terkelola hanya tersedia setelah sumber daya dibuat menggunakan tingkat harga yang diperlukan untuk kunci yang dikelola pelanggan.

Mengaktifkan kunci yang dikelola pelanggan juga akan mengaktifkan identitas terkelola yang ditetapkan sistem, fitur Azure AD. Setelah identitas terkelola yang ditetapkan sistem diaktifkan, sumber daya ini akan terdaftar dengan Azure AD. Setelah terdaftar, identitas terkelola akan diberikan akses ke brankas kunci yang dipilih selama penyiapan kunci yang dikelola pelanggan.

Penting

Jika Anda menonaktifkan identitas terkelola yang ditetapkan sistem, akses ke brankas kunci akan dihapus dan data apa pun yang dienkripsi dengan kunci pelanggan tidak akan dapat diakses lagi. Fitur apa pun yang bergantung pada data ini akan berhenti berfungsi.

Penting

Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Azure, identitas terkelola secara otomatis ditetapkan di balik layar. Jika kemudian Anda memindahkan langganan, grup sumber daya, atau sumber daya dari satu direktori Azure AD ke direktori lain, identitas terkelola yang terkait dengan sumber daya tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Azure Active Directory di Tanya Jawab dan masalah umum dengan identitas terkelola untuk sumber daya Azure.

Mengonfigurasi Key Vault

Saat Anda menggunakan kunci yang dikelola pelanggan, Anda perlu mengatur dua properti di brankas kunci, Penghapusan Sementara dan Jangan Hapus Menyeluruh. Properti ini tidak diaktifkan secara default, tetapi Anda dapat mengaktifkannya di brankas kunci baru atau yang sudah ada menggunakan portal Azure, PowerShell, atau Azure CLI.

Penting

Jika Anda tidak mengaktifkan properti Penghapusan Sementara dan Jangan Hapus Menyeluruh dan Anda menghapus kunci, Anda tidak akan dapat memulihkan data di sumber daya Cognitive Service.

Untuk mempelajari cara mengaktifkan properti ini pada brankas kunci yang ada, lihat Manajemen pemulihan Azure Key Vault dengan perlindungan penghapusan menyeluruh dan penghapusan sementara.

Mengaktifkan kunci yang dikelola pelanggan untuk sumber daya

Untuk mengaktifkan kunci yang dikelola pelanggan di portal Azure, ikuti langkah-langkah berikut:

  1. Buka sumber daya Azure Cognitive Services.

  2. Di sebelah kiri, pilih Enkripsi.

  3. Di bagian Jenis enkripsi, pilih Kunci yang Dikelola Pelanggan, seperti yang diperlihatkan dalam cuplikan layar berikut.

    Cuplikan layar halaman pengaturan Enkripsi untuk sumber daya Cognitive Services. Di bagian Jenis enkripsi, opsi Kunci yang Dikelola Pengguna dipilih.

Menentukan kunci

Setelah Anda mengaktifkan kunci yang dikelola pelanggan, Anda dapat menentukan kunci untuk dikaitkan dengan sumber daya Cognitive Services.

Menentukan kunci sebagai URI

Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

  1. Di portal Azure, buka brankas kunci Anda.

  2. Di bagian Pengaturan, pilih Kunci.

  3. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

  4. Salin nilai Pengidentifikasi Kunci yang memberikan URI.

    Cuplikan layar halaman portal Azure untuk versi kunci. Kotak Pengidentifikasi Kunci berisi tempat penampung untuk URI kunci.

  5. Kembali ke sumber daya Cognitive Services Anda, lalu pilih Enkripsi.

  6. Di bagian Kunci enkripsi, pilih Masukkan URI kunci.

  7. Tempel URI yang Anda salin ke kotak URI Kunci.

    Cuplikan layar halaman Enkripsi untuk sumber daya Cognitive Services. Opsi Masukkan URI kunci dipilih, dan kotak URI Kunci berisi sebuah nilai.

  8. Di bagian Langganan , pilih langganan yang berisi brankas kunci.

  9. Simpan perubahan Anda.

Menentukan kunci dari brankas kunci

Untuk menentukan kunci dari brankas kunci, pertama-tama pastikan Anda memiliki brankas kunci yang berisi kunci. Lalu ikuti langkah-langkah berikut:

  1. Buka sumber daya Cognitive Services Anda, lalu pilih Enkripsi.

  2. Di bagian Kunci enkripsi, pilih Pilih dari Key Vault.

  3. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan.

  4. Pilih brankas kunci yang ingin Anda gunakan.

    Cuplikan layar Pilih kunci dari halaman Azure Key Vault di portal Azure. Kotak Langganan, Key vault, Kunci, dan Versi berisi nilai.

  5. Simpan perubahan Anda.

Memperbarui versi kunci

Saat Anda membuat versi kunci baru, perbarui sumber daya Cognitive Services untuk menggunakan versi baru tersebut. Ikuti langkah-langkah ini:

  1. Buka sumber daya Cognitive Services Anda, lalu pilih Enkripsi.
  2. Masukkan URI untuk versi kunci baru. Atau, Anda dapat memilih brankas kunci dan pilih kunci tersebut lagi untuk memperbarui versi.
  3. Simpan perubahan Anda.

Menggunakan kunci yang berbeda

Untuk mengubah kunci yang digunakan untuk enkripsi, ikuti langkah-langkah berikut:

  1. Buka sumber daya Cognitive Services Anda, lalu pilih Enkripsi.
  2. Masukkan URI untuk kunci baru. Atau, Anda dapat memilih brankas kunci tersebut dan lalu memilih kunci baru.
  3. Simpan perubahan Anda.

Memutar kunci yang dikelola pelanggan

Anda dapat memutar kunci yang dikelola pelanggan di Key Vault sesuai dengan kebijakan kepatuhan Anda. Saat kunci diputar, Anda harus memperbarui sumber daya Cognitive Services untuk menggunakan URI kunci baru. Untuk mempelajari cara memperbarui sumber daya untuk menggunakan versi baru kunci di portal Azure, lihat Memperbarui versi kunci.

Memutar kunci tidak memicu enkripsi ulang data dalam sumber daya. Pelanggan tidak perlu melakukan tindakan lebih lanjut.

Mencabut akses ke kunci yang dikelola pelanggan

Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI. Untuk informasi selengkapnya, lihat Azure Key Vault PowerShell atau Azure Key Vault CLI. Mencabut akses secara efektif memblokir akses ke semua data dalam sumber daya Cognitive Services, karena kunci enkripsi tidak dapat diakses oleh Cognitive Services.

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, sumber daya Cognitive Services Anda kemudian dienkripsi dengan kunci yang dikelola Microsoft. Untuk menonaktifkan kunci yang dikelola pelanggan, ikuti langkah-langkah berikut:

  1. Buka sumber daya Cognitive Services Anda, lalu pilih Enkripsi.
  2. Kosongkan kotak centang di sebelah Gunakan kunci Anda sendiri.

Langkah berikutnya