Translator による保存データの暗号化
Translator を使用すると、アップロードされたデータがクラウドに永続化されるときに自動的に暗号化されるので、組織のセキュリティとコンプライアンスの目標を達成するのに役立ちます。
Azure AI サービスの暗号化について
データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。 データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。
暗号化キーの管理について
サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。 カスタマー マネージド キーをサポートする価格レベルを使用している場合は、次の画像に示すように、Azure portal の [暗号化] セクションでリソースの暗号化設定を確認できます。
Microsoft マネージド暗号化キーのみをサポートするサブスクリプションの場合、[暗号化] セクションはありません。
Azure Key Vault でのカスタマー マネージド キー
サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。 カスタマー マネージド キー (CMK) と呼ばれるユーザー独自のキーを使用してサブスクリプションを管理するオプションもあります。 CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。 CMK がサブスクリプション用に構成されている場合は、Azure Key Vault で暗号化キーを制御しながら、2 つ目の保護レイヤーを提供する二重暗号化を利用できます。
Translator 用のカスタマー マネージド キーを有効にするには、次の手順のようにします。
- Translator または Azure AI サービスの新しいリージョン リソースを作成します。 カスタマー マネージド キーは、グローバル リソースでは機能しません。
- Azure portal でマネージド ID を有効にし、カスタマー マネージド キーの情報を追加します。
- カスタム翻訳ツールで新しいワークスペースを作成し、このサブスクリプション情報を関連付けます。
カスタマー マネージド キーを有効にする
カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。 Azure AI サービスのリソースとキー コンテナーは、同じリージョンの同じ Microsoft Entra テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。 Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。
新しい Azure AI サービス リソースは、常に Microsoft が管理するキーを使用して暗号化されます。 リソースを作成するときに、カスタマー マネージド キーを有効にすることはできません。 カスタマー マネージド キーは Azure Key Vault に保存されます。 キー コンテナーは、Azure AI サービス リソースに関連するマネージド ID にキーのアクセス許可を付与するアクセス ポリシーでプロビジョニングする必要があります。 マネージド ID は、リソースが作成されるとすぐに使用できるようになります。
Azure AI サービスの暗号化用に Azure Key Vault でカスタマー マネージド キーを使用する方法については、以下を参照してください。
カスタマー マネージド キーを有効にすると、システム割り当てマネージド ID (Microsoft Entra ID の機能) も有効になります。 システム割り当てマネージド ID が有効になると、このリソースは Microsoft Entra ID に登録されます。 登録された後、マネージド ID には、カスタマー マネージド キーのセットアップ時に選択されたキー コンテナーへのアクセス権が付与されます。 詳しくは、マネージド ID に関する記事をご覧ください。
重要
システム割り当てのマネージド ID を無効にすると、キー コンテナーへのアクセスは削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。 このデータに依存する機能はすべて動作しなくなります。 デプロイしたモデルもすべてデプロイ解除されます。 アップロードしたすべてのデータが、カスタム翻訳ツールから削除されます。 マネージド ID を再び有効にしても、モデルが自動的に再デプロイされることはありません。
重要
マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。 Azure portal でカスタマー マネージド キーを構成すると、内部でマネージド ID が自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはリソースを 1 つの Microsoft Entra ディレクトリから別の Microsoft Entra ディレクトリに移動した場合、そのリソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。 詳細については、Azure リソース用マネージド ID に関する FAQ と既知の問題に関するページの「Microsoft Entra ディレクトリ間でのサブスクリプションの転送」を参照してください。
Azure Key Vault にカスタマー マネージド キーを格納する
カスタマー マネージド キーを有効にするには、Azure キー コンテナーを使用してキーを格納する必要があります。 Key Vault で [論理的な削除] と [Do Not Purge](消去しない) の両方のプロパティを有効にする必要があります。
Azure AI サービスの暗号化では、サイズが 2048 の RSA キーのみがサポートされています。 キーの詳細については、「Azure Key Vault のキー、シークレット、証明書について」の「Key Vault のキー」を参照してください。
注意
キー コンテナー全体を削除すると、データは表示されなくなり、すべてのモデルがデプロイ解除されます。 アップロードしたすべてのデータが、カスタム翻訳ツールから削除されます。
カスタマー マネージド キーへのアクセス権を取り消す
カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。 アクセス権を取り消すと、Azure AI サービスから暗号化キーにアクセスできなくなるため、Azure AI サービス リソース内のすべてのデータへのアクセスが事実上ブロックされ、モデルのデプロイが解除されます。 アップロードしたすべてのデータも、カスタム翻訳ツールから削除されます。