カスタム質問と回答の保存データの暗号化
カスタムの質問応答を使用すると、クラウドに永続化されているデータが自動的に暗号化されるので、組織のセキュリティとコンプライアンスの目標を達成することができます。
暗号化キーの管理について
サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。 カスタマー マネージド キー (CMK) と呼ばれるユーザー独自のキーを使用してリソースを管理するオプションもあります。 CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。 CMK がサブスクリプション用に構成されている場合は、Azure Key Vault で暗号化キーを制御しながら、2 つ目の保護レイヤーを提供する二重暗号化を利用できます。
カスタムの質問応答では、Azure 検索からの CMK サポートを利用していることに加え、指定された CMK を関連付けて Azure 検索インデックスの格納データを暗号化しています。 このアーティクルに記載されているステップに従って、Azure 検索サービス Key Vault アクセスを構成してください。
Note
CMK がローテーションされている場合は常に、キーの古いバージョンと新しいバージョンの間に、両方とも有効で、有効期限が切れていない重複期間があることを確認してください。
重要
Azure Search サービス リソースは 2019 年 1 月以降に作成されている必要があり、無料 (共有) レベルでは使用できません。 現在 Azure portal では、カスタマー マネージド キーの構成はサポートされていません。
カスタマー マネージド キーを有効にする
CMK を有効にするには、次の手順に従います。
- カスタム質問と回答が有効になっている言語リソースの [暗号化] タブに移動します。
- [カスタマー マネージド キー] オプションを選択します。 自分のカスタマー マネージド キーの詳細を入力し、 [保存] を選びます。
- 正常に保存されると、Azure Search インデックスに格納されているデータの暗号化に CMK が使用されます。
重要
プロジェクトを作成する前に、新しい Azure AI Search サービスで CMK を設定することをお勧めします。 既存のプロジェクトを使用して言語リソースで CMK を設定した場合、それらのプロジェクトにアクセスできなくなる可能性があります。 暗号化されたコンテンツを Azure AI Search で使用する方法の詳細については、こちらをご覧ください。
リージョン別の提供状況
カスタマー マネージド キーは、すべての Azure Search リージョンで使用できます。
転送中のデータの暗号化
Language Studio は、ユーザーのブラウザーで実行されます。 どのアクションでも、各 Azure AI サービス API への直接呼び出しがトリガーされます。 そのため、カスタムの質問応答は、転送中のデータに対応します。