Configurare le chiavi gestite dal cliente per la crittografia dei dati in Ricerca di intelligenza artificiale di Azure

Ricerca di intelligenza artificiale di Azure crittografa automaticamente i dati inattivi con chiavi gestite dal servizio. Se è necessaria una maggiore protezione, è possibile integrare la crittografia predefinita con un altro livello di crittografia usando le chiavi create e gestite in Azure Key Vault.

Questo articolo illustra la procedura di configurazione della crittografia della chiave gestita dal cliente (CMK) o "bring-your-own-key" (BYOK). Ecco alcuni punti da tenere presente:

• La crittografia della chiave gestita dal cliente viene eseguita su singoli oggetti. Se è necessaria la chiave gestita dal cliente nel servizio di ricerca, impostare un criterio di imposizione.

• La crittografia della chiave gestita dal cliente dipende da Azure Key Vault. È possibile creare chiavi di crittografia personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare le API di Azure Key Vault per generare chiavi di crittografia. Azure Key Vault deve trovarsi nella stessa sottoscrizione e nello stesso tenant di Ricerca di intelligenza artificiale di Azure. Ricerca di intelligenza artificiale di Azure recupera la chiave gestita connettendosi tramite un'identità gestita dal sistema o dall'utente. Questo comportamento richiede che entrambi i servizi convidano lo stesso tenant.

• La crittografia della chiave gestita dal cliente diventa operativa quando viene creato un oggetto. Non è possibile crittografare gli oggetti già esistenti. La crittografia della chiave gestita dal cliente si verifica ogni volta che un oggetto viene salvato su disco, ovvero i dati inattivi per l'archiviazione a lungo termine o i dati temporanei per l'archiviazione a breve termine. Con la chiave gestita dal cliente, il disco non vede mai dati non crittografati.

Nota

Se un indice è crittografato tramite cmk, è accessibile solo se il servizio di ricerca ha accesso alla chiave. Se l'accesso viene revocato, l'indice non è utilizzabile e il servizio non può essere ridimensionato fino a quando l'indice non viene eliminato o non viene ripristinato l'accesso alla chiave.

Oggetti crittografati della chiave gestita dal cliente

Gli oggetti che possono essere crittografati includono indici, elenchi di sinonimi, indicizzatori, origini dati e set di competenze. La crittografia è dispendiosa a livello di calcolo per decrittografare in modo che solo il contenuto sensibile sia crittografato.

La crittografia viene eseguita sul contenuto seguente:

• Tutti i contenuti all'interno di indici e elenchi di sinonimi, incluse le descrizioni.

• Per indicizzatori, origini dati e set di competenze, vengono crittografati solo i campi che archiviano stringa di connessione, descrizioni, chiavi e input utente. Ad esempio, i set di competenze hanno chiavi dei servizi di intelligenza artificiale di Azure e alcune competenze accettano input utente, ad esempio entità personalizzate. In entrambi i casi, le chiavi e gli input dell'utente nelle competenze vengono crittografati.

Crittografia doppia completa

Quando si introduce la crittografia cmk, si crittografa il contenuto due volte. Per gli oggetti e i campi indicati nella sezione precedente, il contenuto viene prima crittografato con la chiave gestita da Microsoft e in secondo luogo con la chiave gestita da Microsoft. Il contenuto viene crittografato in modo doubly nei dischi dati per l'archiviazione a lungo termine e nei dischi temporanei usati per l'archiviazione a breve termine.

L'abilitazione della crittografia della chiave gestita dal cliente aumenta le dimensioni dell'indice e degrada le prestazioni delle query. In base alle osservazioni fino ad oggi, è possibile prevedere un aumento del 30-60% nei tempi di query, anche se le prestazioni effettive variano a seconda della definizione dell'indice e dei tipi di query. Poiché le prestazioni sono diminuite, è consigliabile abilitare questa funzionalità solo sugli indici che lo richiedono realmente.

Anche se la doppia crittografia è ora disponibile in tutte le aree, il supporto è stato implementato in due fasi:

• La prima implementazione è stata il 1° agosto 2020 e includeva le cinque aree elencate di seguito. servizio di ricerca create nelle aree seguenti supportate dalla chiave gestita dal cliente per i dischi dati, ma non nei dischi temporanei:

  • West US 2
  • Stati Uniti orientali
  • Stati Uniti centro-meridionali
  • US Gov Virginia
  • US Gov Arizona

• La seconda implementazione il 13 maggio 2021 ha aggiunto la crittografia per i dischi temporanei e la crittografia cmk estesa a tutte le aree supportate.

  Se si usa cmk da un servizio creato durante la prima implementazione e si vuole anche la crittografia cmk su dischi temporanei, è necessario creare un nuovo servizio di ricerca nell'area preferita e ridistribuire il contenuto.

Prerequisiti

In questo scenario vengono usati gli strumenti e i servizi seguenti.

• Ricerca di intelligenza artificiale di Azure in un livello fatturabile (Basic o superiore, in qualsiasi area).

• Azure Key Vault consente di creare un insieme di credenziali delle chiavi usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Creare la risorsa nella stessa sottoscrizione di Ricerca di intelligenza artificiale di Azure. L'insieme di credenziali delle chiavi deve avere la protezione di eliminazione temporanea e ripulitura abilitata.

• MICROSOFT Entra ID. Se non è disponibile, configurare un nuovo tenant.

È necessario disporre di un client di ricerca in grado di creare l'oggetto crittografato. In questo codice si fa riferimento a una chiave dell'insieme di credenziali delle chiavi e alle informazioni di registrazione dell'applicazione. Questo codice può essere un'app funzionante o un codice prototipo, ad esempio l'esempio di codice C# DotNetHowToEncryptionUsingCMK.

Suggerimento

È possibile usare un client REST o Azure PowerShell per creare indici e mappe sinonimi che includono un parametro della chiave di crittografia. È anche possibile usare Gli SDK di Azure. Il supporto del portale per l'aggiunta di una chiave agli indici o alle mappe sinonimi non è supportato.

Suggerimenti per Key Vault

Se non si ha familiarità con Azure Key Vault, vedere questa guida introduttiva per informazioni sulle attività di base: Impostare e recuperare un segreto da Azure Key Vault usando PowerShell. Ecco alcuni suggerimenti per l'uso di Key Vault:

• Usare tutti gli insiemi di credenziali delle chiavi necessari. Le chiavi gestite possono trovarsi in insiemi di credenziali delle chiavi diversi. Un servizio di ricerca può avere più oggetti crittografati, ognuno crittografato con una chiave di crittografia gestita dal cliente diversa, archiviata in insiemi di credenziali delle chiavi diversi.

• Abilitare la registrazione in Key Vault in modo da poter monitorare l'utilizzo delle chiavi.

• Ricordarsi di seguire procedure rigorose durante la rotazione di routine delle chiavi dell'insieme di credenziali delle chiavi e dei segreti e della registrazione delle applicazioni di Active Directory. Aggiornare sempre tutto il contenuto crittografato per usare nuovi segreti e chiavi prima di eliminarli. Se non si verifica questo passaggio, il contenuto non può essere decrittografato.

1 - Abilitare la protezione dall'eliminazione

Come primo passaggio, assicurarsi che l'eliminazione temporanea e la protezione dall'eliminazione siano abilitate nell'insieme di credenziali delle chiavi. A causa della natura della crittografia con chiavi gestite dal cliente, nessuno può recuperare i dati se la chiave di Azure Key Vault viene eliminata.

Per evitare la perdita di dati causata da eliminazioni accidentali delle chiavi di Key Vault, è necessario abilitare la protezione dall'eliminazione temporanea nell'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita, quindi si verificano problemi solo se è stata disabilitata. La protezione dall'eliminazione non è abilitata per impostazione predefinita, ma è necessaria per la crittografia della chiave gestita dal cliente in Ricerca di intelligenza artificiale di Azure.

È possibile impostare entrambe le proprietà usando il portale, PowerShell o i comandi dell'interfaccia della riga di comando di Azure.

Azure portal

1. Accedere al portale di Azure e aprire la pagina di panoramica dell'insieme di credenziali delle chiavi.

2. Nella pagina Panoramica in Informazioni di base abilitare l'eliminazione temporanea e la protezione ripulitura.

Tramite PowerShell

1. Eseguire Connect-AzAccount per configurare le credenziali di Azure.

2. Eseguire il comando seguente per connettersi all'insieme di credenziali delle chiavi, sostituendo <vault_name> con un nome valido:

   $resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "<vault_name>").ResourceId
   

3. Azure Key Vault viene creato con l'eliminazione temporanea abilitata. Se è disabilitato nell'insieme di credenziali, eseguire il comando seguente:

   $resource.Properties | Add-Member -MemberType NoteProperty -Name "enableSoftDelete" -Value 'true'
   

4. Abilitare la protezione dall'eliminazione:

   $resource.Properties | Add-Member -MemberType NoteProperty -Name "enablePurgeProtection" -Value 'true'
   

5. Salvare gli aggiornamenti:

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

Utilizzare l'interfaccia della riga di comando di Azure

• Se si dispone di un'installazione dell'interfaccia della riga di comando di Azure, è possibile eseguire il comando seguente per abilitare le proprietà necessarie.

  az keyvault update -n <vault_name> -g <resource_group> --enable-soft-delete --enable-purge-protection
  

2 - Creare una chiave in Key Vault

Ignorare la generazione di chiavi se si ha già una chiave in Azure Key Vault che si vuole usare, ma raccogliere l'identificatore della chiave. Queste informazioni sono necessarie durante la creazione di un oggetto crittografato.

1. Accedere al portale di Azure e aprire la pagina di panoramica dell'insieme di credenziali delle chiavi.

2. Selezionare Chiavi a sinistra e quindi + Genera/Importa.

3. Nell'elenco Opzioni del riquadro Crea una chiave scegliere il metodo da usare per creare una chiave. È possibile generare una nuova chiave, caricare una chiave esistente o usare Ripristina backup per selezionare un backup di una chiave.

4. Immettere un nome per la chiave e, facoltativamente, selezionare altre proprietà della chiave.

5. Selezionare Crea per avviare la distribuzione.

6. Selezionare la chiave, selezionare la versione corrente e quindi prendere nota dell'identificatore di chiave. È costituito dall'URI del valore della chiave, dal nome della chiave e dalla versione della chiave. È necessario l'identificatore per definire un indice crittografato in Ricerca di intelligenza artificiale di Azure.

   

3 - Creare un'entità di sicurezza

Sono disponibili diverse opzioni per accedere alla chiave di crittografia in fase di esecuzione. L'approccio più semplice consiste nel recuperare la chiave usando l'identità gestita e le autorizzazioni del servizio di ricerca. È possibile usare un'identità gestita dal sistema o dall'utente. In questo modo è possibile omettere i passaggi per la registrazione dell'applicazione e i segreti dell'applicazione e semplificare la definizione della chiave di crittografia.

In alternativa, è possibile creare e registrare un'applicazione Microsoft Entra. Il servizio di ricerca fornisce l'ID applicazione nelle richieste.

Un'identità gestita consente al servizio di ricerca di eseguire l'autenticazione in Azure Key Vault senza archiviare le credenziali (ApplicationID o ApplicationSecret) nel codice. Il ciclo di vita di questo tipo di identità gestita è associato al ciclo di vita del servizio di ricerca, che può avere una sola identità gestita. Per altre informazioni sul funzionamento delle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.

Identità gestita dal sistema

1. Rendere il servizio di ricerca un servizio attendibile.

   

Le condizioni che impediscono l'adozione di questo approccio includono:

• Non è possibile concedere direttamente al servizio di ricerca le autorizzazioni di accesso all'insieme di credenziali delle chiavi, ad esempio se il servizio di ricerca si trova in un tenant diverso di Microsoft Entra ID rispetto ad Azure Key Vault.

• Per ospitare più indici crittografati o mappe sinonimi, è necessario un singolo servizio di ricerca, ognuno dei quali usa una chiave diversa da un insieme di credenziali delle chiavi diverso, in cui ogni insieme di credenziali delle chiavi deve usare un'identità diversa per l'autenticazione. Poiché un servizio di ricerca può avere una sola identità gestita, un requisito per più identità escludono l'approccio semplificato per lo scenario.

Identità gestita dall'utente (anteprima)

Importante

Il supporto delle identità gestite dall'utente è disponibile in anteprima pubblica in condizioni supplementari per l'utilizzo.

2021-04-01-Preview dell'API REST di gestione fornisce questa funzionalità.

1. Accedere al portale di Azure.

2. Selezionare + Crea una nuova risorsa.

3. Nella barra di ricerca "servizio di ricerca e marketplace" cercare "Identità gestita assegnata dall'utente" e quindi selezionare Crea.

4. Assegnare all'identità un nome descrittivo.

5. Assegnare quindi l'identità gestita dall'utente al servizio di ricerca. Questa operazione può essere eseguita usando l'API di gestione 2021-04-01-preview .

   La proprietà Identity accetta un tipo e una o più identità assegnate dall'utente complete:

   • type è il tipo di identità usato per la risorsa. Il tipo 'SystemAssigned, UserAssigned' include sia un'identità creata dal sistema che un set di identità assegnate dall'utente. Il tipo 'None' rimuove tutte le identità dal servizio.
   • userAssignedIdentities include i dettagli dell'identità gestita dall'utente.
     • Formato di identità gestito dall'utente:
       • /subscriptions/subscription ID/resourcegroups/resource group name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/managed identity name

   Esempio di come assegnare un'identità gestita dall'utente a un servizio di ricerca:

   PUT https://management.azure.com/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Search/searchServices/[search service name]?api-version=2021-04-01-preview
   Content-Type: application/json
   
   {
     "location": "[region]",
     "sku": {
       "name": "[sku]"
     },
     "properties": {
       "replicaCount": [replica count],
       "partitionCount": [partition count],
       "hostingMode": "default"
     },
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
         "/subscriptions/[subscription ID]/resourcegroups/[resource group name]/providers/Microsoft.ManagedIdentity/userAssignedIdentities/[managed identity name]": {}
       }
     }
   } 
   

6. Aggiornare la "encryptionKey" sezione per usare una proprietà Identity. Assicurarsi di usare la versione dell'API REST 2021-04-01-preview durante l'invio di questa richiesta al servizio di ricerca.

   {
     "encryptionKey": {
       "keyVaultUri": "https://[key vault name].vault.azure.net",
       "keyVaultKeyName": "[key vault key name]",
       "keyVaultKeyVersion": "[key vault key version]",
       "identity" : { 
           "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
           "userAssignedIdentity" : "/subscriptions/[subscription ID]/resourceGroups/[resource group name]/providers/Microsoft.ManagedIdentity/userAssignedIdentities/[managed identity name]"
       }
     }
   }
   

Registrare un'app

1. Nella portale di Azure trovare la risorsa Microsoft Entra per la sottoscrizione.

2. A sinistra, in Gestisci selezionare Registrazioni app e quindi selezionare Nuova registrazione.

3. Assegnare un nome alla registrazione, ad esempio un nome simile al nome dell'applicazione di ricerca. Selezionare Registra.

4. Dopo aver creato la registrazione dell'app, copiare l'ID applicazione. È necessario fornire questa stringa all'applicazione.

   Se si esegue un'istruzione dettagliata di DotNetHowToEncryptionUsingCMK, incollare questo valore nel file appsettings.json .

   

5. Selezionare quindi Certificati e segreti a sinistra.

6. Selezionare Nuovo segreto client. Assegnare al segreto un nome visualizzato e selezionare Aggiungi.

7. Copiare il segreto dell'applicazione. Se si esegue un'istruzione dettagliata dell'esempio, incollare questo valore nel file appsettings.json .

   

4 - Concedere le autorizzazioni

In questo passaggio si creano criteri di accesso in Key Vault. Questo criterio concede all'applicazione registrata con l'autorizzazione Microsoft Entra ID per l'uso della chiave gestita dal cliente.

Le autorizzazioni di accesso possono essere revocate in qualsiasi momento. Una volta revocato, qualsiasi indice del servizio di ricerca o mappa sinonimo che usa tale insieme di credenziali delle chiavi diventa inutilizzabile. Il ripristino delle autorizzazioni di accesso all'insieme di credenziali delle chiavi in un secondo momento ripristina l'accesso all'indice e al mapping sinonimo. Per altre informazioni, vedere Proteggere l'accesso a un insieme di credenziali delle chiavi.

1. Sempre nella portale di Azure aprire la pagina Panoramica dell'insieme di credenziali delle chiavi.

2. Selezionare i criteri di accesso a sinistra e selezionare + Crea per avviare la procedura guidata Crea criteri di accesso.

   

3. Nella pagina Autorizzazioni selezionare Recupera per autorizzazioni chiave, autorizzazioni segrete e autorizzazioni certificato. Selezionare Annulla il wrapping della chiave e Eseguire il wrapping della chiave per ** operazioni di crittografia sulla chiave.

   

4. Selezionare Avanti.

5. Nella pagina Principio individuare e selezionare l'entità di sicurezza usata dal servizio di ricerca per accedere alla chiave di crittografia. Si tratta dell'identità gestita dal sistema o gestita dall'utente del servizio di ricerca o dell'applicazione registrata.

6. Selezionare Avanti e Crea.

Importante

Il contenuto crittografato in Ricerca intelligenza artificiale di Azure è configurato per l'uso di una chiave specifica di Azure Key Vault con una versione specifica. Se si modifica la chiave o la versione, è necessario aggiornare l'indice o la mappa sinonimia per usarla prima di eliminarla. In caso contrario, l'indice o la mappa sinonimo non sarà utilizzabile. Non sarà possibile decrittografare il contenuto se la chiave viene persa.

5 - Crittografare il contenuto

Le chiavi di crittografia vengono aggiunte quando si crea un oggetto . Per aggiungere una chiave gestita dal cliente in un indice, una mappa sinonimo, un indicizzatore, un'origine dati o un set di competenze, usare l'API REST di ricerca o un SDK di Azure per creare un oggetto con crittografia abilitata. Il portale non consente le proprietà di crittografia per la creazione di oggetti.

1. Chiamare le API Create per specificare la proprietà encryptionKey :

   • Creare un indice
   • Creare la mappa dei sinonimi
   • Creare un indicizzatore
   • Creare un'origine dati
   • Creare un set di competenze.

2. Inserire il costrutto encryptionKey nella definizione dell'oggetto. Questa proprietà è una proprietà di primo livello, allo stesso livello del nome e della descrizione. Negli esempi REST seguenti viene illustrato il posizionamento delle proprietà. Se si usa lo stesso insieme di credenziali, chiave e versione, è possibile incollare lo stesso costrutto "encryptionKey" in ogni definizione di oggetto.

   Il primo esempio mostra una "encryptionKey" per un servizio di ricerca che si connette usando un'identità gestita:

   {
     "encryptionKey": {
       "keyVaultUri": "https://demokeyvault.vault.azure.net",
       "keyVaultKeyName": "myEncryptionKey",
       "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
     }
   }
   

   Il secondo esempio include "accessCredentials", necessario se è stata registrata un'applicazione nell'ID Microsoft Entra:

   {
     "encryptionKey": {
       "keyVaultUri": "https://demokeyvault.vault.azure.net",
       "keyVaultKeyName": "myEncryptionKey",
       "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
       "accessCredentials": {
         "applicationId": "00000000-0000-0000-0000-000000000000",
         "applicationSecret": "myApplicationSecret"
       }
     }
   }
   

Dopo aver creato l'oggetto crittografato nel servizio di ricerca, è possibile usarlo come qualsiasi altro oggetto del relativo tipo. La crittografia è trasparente per l'utente e lo sviluppatore.

Nota

Nessuno di questi dettagli dell'insieme di credenziali delle chiavi viene considerato segreto e può essere facilmente recuperato passando alla pagina pertinente di Azure Key Vault in portale di Azure.

6 - Configurare i criteri

I criteri di Azure consentono di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. Ricerca di intelligenza artificiale di Azure ha un criterio predefinito facoltativo per l'applicazione della chiave gestita a livello di servizio.

In questa sezione vengono impostati i criteri che definiscono uno standard cmk per il servizio di ricerca. Configurare quindi il servizio di ricerca per applicare questo criterio.

1. Passare al criterio predefinito nel Web browser. Selezionare Assegna

   

2. Configurare l'ambito dei criteri. Nella sezione Parametri deselezionare Mostra solo i parametri e impostare Effetto su Nega.

   Durante la valutazione della richiesta, una richiesta che corrisponde a una definizione di criteri di negazione viene contrassegnata come non conforme. Supponendo che lo standard per il servizio sia la crittografia cmk, "deny" significa che le richieste che non specificano la crittografia cmk non sono conformi.

   

3. Completare la creazione dei criteri.

4. Chiamare l'API Servizi - Aggiornamento per abilitare l'imposizione dei criteri cmk a livello di servizio.

PATCH https://management.azure.com/subscriptions/[subscriptionId]/resourceGroups/[resourceGroupName]/providers/Microsoft.Search/searchServices/[serviceName]?api-version=2022-11-01

{
    "properties": {
        "encryptionWithCmk": {
            "enforcement": "Enabled",
            "encryptionComplianceStatus": "Compliant"
        }
    }
}

Esempi REST

Questa sezione mostra il codice JSON per diversi oggetti in modo da poter vedere dove individuare "encryptionKey" in una definizione di oggetto.

Crittografia dell'indice

I dettagli relativi alla creazione di un nuovo indice tramite l'API REST sono disponibili in Creare un indice (API REST), dove l'unica differenza consiste nell'specificare i dettagli della chiave di crittografia come parte della definizione dell'indice:

{
 "name": "hotels",
 "fields": [
  {"name": "HotelId", "type": "Edm.String", "key": true, "filterable": true},
  {"name": "HotelName", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": true, "facetable": false},
  {"name": "Description", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "en.lucene"},
  {"name": "Description_fr", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "fr.lucene"},
  {"name": "Category", "type": "Edm.String", "searchable": true, "filterable": true, "sortable": true, "facetable": true},
  {"name": "Tags", "type": "Collection(Edm.String)", "searchable": true, "filterable": true, "sortable": false, "facetable": true},
  {"name": "ParkingIncluded", "type": "Edm.Boolean", "filterable": true, "sortable": true, "facetable": true},
  {"name": "LastRenovationDate", "type": "Edm.DateTimeOffset", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Rating", "type": "Edm.Double", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Location", "type": "Edm.GeographyPoint", "filterable": true, "sortable": true}
 ],
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

È ora possibile inviare la richiesta di creazione dell'indice e quindi iniziare a usare l'indice normalmente.

Crittografia della mappa sinonimo

Creare una mappa sinonimia crittografata usando l'API REST Create Synonym Map di Ricerca di intelligenza artificiale di Azure. Utilizzare la proprietà "encryptionKey" per specificare la chiave di crittografia da usare.

{
  "name" : "synonymmap1",
  "format" : "solr",
  "synonyms" : "United States, United States of America, USA\n
  Washington, Wash. => WA",
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

È ora possibile inviare la richiesta di creazione della mappa sinonimo e quindi iniziare a usarla normalmente.

Crittografia origine dati

Creare un'origine dati crittografata usando l'API REST Create Data Source (Create Data Source). Utilizzare la proprietà "encryptionKey" per specificare la chiave di crittografia da usare.

{
  "name" : "datasource1",
  "type" : "azureblob",
  "credentials" :
  { "connectionString" : "DefaultEndpointsProtocol=https;AccountName=datasource;AccountKey=accountkey;EndpointSuffix=core.windows.net"
  },
  "container" : { "name" : "containername" },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

È ora possibile inviare la richiesta di creazione dell'origine dati e quindi iniziare a usarla normalmente.

Crittografia del set di competenze

Creare un set di competenze crittografato usando l'API REST Crea set di competenze. Utilizzare la proprietà "encryptionKey" per specificare la chiave di crittografia da usare.

{
    "name": "skillset1",
    "skills":  [ omitted for brevity ],
    "cognitiveServices": { omitted for brevity },
      "knowledgeStore":  { omitted for brevity  },
    "encryptionKey": (optional) { 
        "keyVaultKeyName": "myEncryptionKey",
        "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
        "keyVaultUri": "https://demokeyvault.vault.azure.net",
        "accessCredentials": {
            "applicationId": "00000000-0000-0000-0000-000000000000",
            "applicationSecret": "myApplicationSecret"}
    }
}

È ora possibile inviare la richiesta di creazione del set di competenze e quindi iniziare a usarla normalmente.

Crittografia dell'indicizzatore

Creare un indicizzatore crittografato usando l'API REST Crea indicizzatore. Utilizzare la proprietà "encryptionKey" per specificare la chiave di crittografia da usare.

{
  "name": "indexer1",
  "dataSourceName": "datasource1",
  "skillsetName": "skillset1",
  "parameters": {
      "configuration": {
          "imageAction": "generateNormalizedImages"
      }
  },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

È ora possibile inviare la richiesta di creazione dell'indicizzatore e quindi iniziare a usarla normalmente.

Importante

Anche se "encryptionKey" non può essere aggiunto agli indici di ricerca o alle mappe sinonimie esistenti, può essere aggiornato fornendo valori diversi per uno dei tre dettagli dell'insieme di credenziali delle chiavi (ad esempio, aggiornando la versione della chiave). Quando si passa a una nuova chiave di Key Vault o a una nuova versione della chiave, qualsiasi indice di ricerca o mappa sinonimo che usa la chiave deve essere aggiornato per usare la nuova chiave\versione prima di eliminare la chiave\versione precedente. In caso contrario, il rendering dell'indice o della mappa sinonimo non sarà utilizzabile perché non sarà in grado di decrittografare il contenuto una volta perso l'accesso alla chiave. Anche se il ripristino delle autorizzazioni di accesso all'insieme di credenziali delle chiavi in un secondo momento ripristina l'accesso al contenuto.

Usare il contenuto crittografato

Con la crittografia della chiave gestita dal cliente, è possibile notare la latenza sia per l'indicizzazione che per le query a causa del lavoro aggiuntivo di crittografia/decrittografia. Ricerca di intelligenza artificiale di Azure non registra l'attività di crittografia, ma è possibile monitorare l'accesso alle chiavi tramite la registrazione dell'insieme di credenziali delle chiavi. È consigliabile abilitare la registrazione come parte della configurazione dell'insieme di credenziali delle chiavi.

La rotazione delle chiavi dovrebbe verificarsi nel tempo. Ogni volta che si ruotano le chiavi, è importante seguire questa sequenza:

1. Determinare la chiave usata da una mappa di indice o sinonimo.
2. Creare una nuova chiave nell'insieme di credenziali delle chiavi, ma lasciare disponibile la chiave originale.
3. Aggiornare le proprietà encryptionKey in una mappa di indice o sinonimo per usare i nuovi valori. Solo gli oggetti creati originariamente con questa proprietà possono essere aggiornati per utilizzare un valore diverso.
4. Disabilitare o eliminare la chiave precedente nell'insieme di credenziali delle chiavi. Monitorare l'accesso alla chiave per verificare che venga usata la nuova chiave.

Per motivi di prestazioni, il servizio di ricerca memorizza nella cache la chiave per un massimo di diverse ore. Se si disabilita o si elimina la chiave senza specificarne una nuova, le query continuano a funzionare in modo temporaneo fino alla scadenza della cache. Tuttavia, una volta che il servizio di ricerca non è più in grado di decrittografare il contenuto, viene visualizzato questo messaggio: "Accesso negato. La chiave di query usata potrebbe essere stata revocata. Riprovare."

Passaggi successivi

Se non si ha familiarità con l'architettura di sicurezza di Azure, vedere la documentazione sulla sicurezza di Azure e in particolare questo articolo:

Crittografia dei dati inattivi