Document Intelligence による保存データの暗号化

  • [アーティクル]

このコンテンツの適用対象:checkmarkv4.0 (プレビュー)checkmarkv3.1 (GA)checkmarkv3.0 (GA)checkmarkv2.1 (GA)

重要

  • 以前のバージョンのカスタマー マネージド キーでは、モデルのみが暗号化されました。 *07/31/2023 リリース以降、すべての新しいリソースは、カスタマー マネージド キーを使用して、モデルとドキュメントの結果の両方を暗号化します。 モデルとデータの両方を暗号化するように既存のサービスをアップグレードするには、カスタマー マネージド キーを無効にしてから再度有効にするだけです。

Azure AI Document Intelligence では、データはクラウドに永続化されるときに自動的に暗号化されます。 Azure AI Document Intelligence の暗号化によってデータは保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。

Azure AI サービスの暗号化について

データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。 データは既定でセキュリティ保護されています。 暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。

暗号化キーの管理について

サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。 カスタマー マネージド キーと呼ばれるユーザー独自のキーでサブスクリプションを管理することもできます。 カスタマー マネージド キーを使うと、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟な手段で行うことができます。 また、データを保護するために使う暗号化キーを監査することもできます。 お使いのサブスクリプションに対してカスタマー マネージド キーが構成されている場合は、二重暗号化が提供されます。 この 2 つ目の保護レイヤーにより、Azure Key Vault で暗号化キーをコントロールすることができます。

重要

カスタマー マネージド キーは、2020年 5 月 11 日より後に作成されたリソースのみに使用できます。 Document Intelligence で CMK を使用するには、新しい Document Intelligence リソースを作成する必要があります。 リソースが作成されたら、Azure Key Vault を使用してマネージド ID を設定できます。

Azure Key Vault でのカスタマー マネージド キー

カスタマー マネージド キーを使用する場合、それらを格納するために Azure Key Vault を使用する必要があります。 独自のキーを作成してキー コンテナーに格納することも、Key Vault API を使ってキーを生成することもできます。 Azure AI サービスのリソースとキー コンテナーは、同じリージョンの同じ Microsoft Entra テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。 Key Vault の詳細については、Azure Key Vault の概要に関する記事を参照してください。

新しい Azure AI サービス リソースを作成するときは、常に Microsoft のマネージド キーを使用して暗号化されます。 リソースを作成するときに、カスタマー マネージド キーを有効にすることはできません。 カスタマー マネージド キーは、Key Vault に格納されます。 キー コンテナーは、Azure AI サービス リソースに関連するマネージド ID にキーのアクセス許可を付与するアクセス ポリシーでプロビジョニングする必要があります。 マネージド ID は、カスタマー マネージド キーに必要な価格レベルを使用してリソースを作成した後でのみ使用できます。

カスタマー マネージド キーを有効にすると、システム割り当てマネージド ID (Microsoft Entra ID の機能) も有効になります。 システム割り当てマネージド ID が有効になると、このリソースは Microsoft Entra ID に登録されます。 登録された後、マネージド ID には、カスタマー マネージド キーのセットアップ時に選択されたキー コンテナーへのアクセス権が付与されます。

重要

システム割り当てのマネージド ID を無効にすると、キー コンテナーへのアクセス権は削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。 このデータに依存する機能はすべて動作しなくなります。

重要

マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。 Azure portal でカスタマー マネージド キーを構成すると、内部でマネージド ID が自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはリソースを 1 つの Microsoft Entra ディレクトリから別のディレクトリに移動した場合、そのリソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。 詳細については、Azure リソース用マネージド ID に関する FAQ と既知の問題に関するページの「Microsoft Entra ディレクトリ間でのサブスクリプションの転送」を参照してください。

Key Vault を構成する

カスタマー マネージド キーを使用する場合は、キー コンテナーで [論理的な削除][消去しない] の 2 つのプロパティを設定する必要があります。 これらのプロパティは既定では有効になっていませんが、Azure portal、PowerShell、または Azure CLI を使用して、新規または既存のキー コンテナーで有効にすることができます。

重要

[論理的な削除][消去しない] のプロパティを有効にしないでキーを削除した場合、Azure AI サービス リソース内のデータを復旧することはできません。

既存のキー コンテナーでここに挙げたプロパティを有効にする方法については、「論理的な削除と消去保護を使用した Azure Key Vault の回復の管理」を参照してください。

リソース用にカスタマー マネージド キーを有効にする

Azure portal でカスタマー マネージド キーを有効にするには、次の手順のようにします。

  1. Azure AI サービス リソースに移動します。

  2. 左側の [暗号化] を選択します。

  3. [暗号化の種類] で、次のスクリーンショットに示すように、[カスタマー マネージド キー] を選択します。

    Screenshot of the Encryption settings page for an Azure AI services resource. Under Encryption type, the Customer Managed Keys option is selected.

キーを指定する

カスタマー マネージド キーを有効にした後で、キーと Azure AI サービス リソースの関連付けを指定することができます。

URI としてキーを指定する

URI としてキーを指定するには、次の手順のようにします。

  1. Azure portal で自分のキー コンテナーに移動します。

  2. [設定][キー] を選択します。

  3. 目的のキーを選択し、キーを選択してそのバージョンを表示します。 そのバージョンの設定を表示するには、キーのバージョンを選択します。

  4. URI を示す [キー識別子] の値をコピーします。

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Azure AI サービス リソースに戻り、[暗号化] を選択します。

  6. [暗号化キー] で、[キー URI の入力] を選択します。

  7. コピーした URI を [キー URI] ボックスに貼り付けます。

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. [サブスクリプション] で、キー コンテナーを含むサブスクリプションを選択します。

  9. 変更を保存します。

キー コンテナーのキーを指定する

キー コンテナーからキーを指定するには、まず、キーが含まれるキー コンテナーがあることを確認します。 その後、次の手順に従います。

  1. Azure AI サービス リソースに移動し、[暗号化] を選択します。

  2. [暗号化キー] で、[Key Vault から選ぶ] を選択します。

  3. 使用するキーを含むキー コンテナーを選択します。

  4. 使用するキーを選択します。

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. 変更を保存します。

キーのバージョンを更新する

キーの新しいバージョンを作成した場合、その新しいバージョンを使用するには、Azure AI サービス リソースを更新します。 次の手順のようにします。

  1. Azure AI サービス リソースに移動し、[暗号化] を選択します。
  2. 新しいキーのバージョンの URI を入力します。 または、キー コンテナーを選択してからキーを再び選択して、バージョンを更新してもかまいません。
  3. 変更を保存します。

別のキーを使用する

暗号化に使用するキーを変更するには、次の手順に従います。

  1. Azure AI サービス リソースに移動し、[暗号化] を選択します。
  2. 新しいキーの URI を入力します。 キー コンテナーを選択してから新しいキーを選択することもできます。
  3. 変更を保存します。

カスタマー マネージド キーをローテーションする

Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。 キーをローテーションするときは、新しいキー URI を使用するように Azure AI サービス リソースを更新する必要があります。 Azure portal で新しいバージョンのキーを使用するようにリソースを更新する方法については、「キーのバージョンを更新する」のセクションを参照してください。

キーをローテーションしても、リソースでのデータの再暗号化はトリガーされません。 ユーザーからのそれ以上のアクションは必要ありません。

カスタマー マネージド キーへのアクセス権を取り消す

カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。 アクセス権を取り消すと、Azure AI サービスで暗号化キーにアクセスできなくなるため、Azure AI サービス リソース内のすべてのデータへのアクセスが事実上ブロックされます。

カスタマー マネージド キーを無効にする

カスタマー マネージド キーを無効にすると、Azure AI サービス リソースはそれ以降、Microsoft マネージド キーを使用して暗号化されます。 カスタマー マネージド キーを無効にするには、次の手順を実行します。

  1. Azure AI サービス リソースに移動し、[暗号化] を選択します。
  2. [独自のキーを使用する] の横にあるチェック ボックスをオフにします。

次のステップ