Delen via

Azure AI Content Safety-versleuteling van data-at-rest

  • Artikel

Azure AI Content Safety versleutelt uw gegevens automatisch wanneer deze worden bewaard in de cloud. De versleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. In dit artikel wordt beschreven hoe Azure AI Content Safety versleuteling van data-at-rest verwerkt.

Over Versleuteling van Azure AI-services

Azure AI Content Safety maakt deel uit van Azure AI-services. Gegevens van Azure AI-services worden versleuteld en ontsleuteld met FIPS 140-2-compatibele 256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.

Over versleutelingssleutelbeheer

Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. Er is ook de optie om uw abonnement te beheren met uw eigen sleutels, cmk (door de klant beheerde sleutels). CMK biedt meer flexibiliteit voor het maken, roteren, uitschakelen en intrekken van toegangsbesturingselementen. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.

Belangrijk

Voor bloklijstnamen wordt standaard alleen MMK-versleuteling toegepast. Als u CMK gebruikt, wordt dit gedrag niet gewijzigd. Alle andere gegevens gebruiken MMK of CMK, afhankelijk van wat u hebt geselecteerd.

Door de klant beheerde sleutels met Azure Key Vault

Door de klant beheerde sleutels (CMK), ook wel BYOK (Bring Your Own Key) genoemd, bieden meer flexibiliteit voor het maken, draaien, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.

U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Azure AI-servicesresource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Als u door de klant beheerde sleutels wilt inschakelen, moet u ook zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis.

Alleen RSA-sleutels van grootte 2048 worden ondersteund met Azure AI-servicesversleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, geheimen en certificaten voor meer informatie over sleutels.

Door de klant beheerde sleutels voor uw resource inschakelen

Voer de volgende stappen uit om door de klant beheerde sleutels in te schakelen in Azure Portal:

  1. Ga naar uw Azure AI-servicesresource.
  2. Selecteer versleuteling aan de linkerkant.
  3. Selecteer onder Versleutelingstype de optie Door klant beheerde sleutels, zoals wordt weergegeven in de volgende schermopname.

Schermopname van het tabblad Versleuteling in Azure Portal.

Een sleutel opgeven

Nadat u door de klant beheerde sleutels hebt ingeschakeld, kunt u een sleutel opgeven die moet worden gekoppeld aan de Azure AI-servicesresource.

Voer de volgende stappen uit om een sleutel op te geven als een URI:

  1. Ga in Azure Portal naar uw sleutelkluis.

  2. Selecteer Onder Instellingen sleutels.

  3. Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

  4. Kopieer de waarde van de sleutel-id , die de URI levert.

    Schermopname van de azure-portalpagina voor een sleutelversie. Het vak Sleutel-id bevat een tijdelijke aanduiding voor een sleutel-URI.

  5. Ga terug naar uw Azure AI-servicesresource en selecteer Versleuteling.

  6. Selecteer onder Versleutelingssleutel enter-sleutel-URI.

  7. Plak de URI die u hebt gekopieerd in het vak Sleutel-URI .

    Schermopname van de pagina Versleuteling voor een Azure AI-servicesresource. De optie Sleutel-URI invoeren is geselecteerd en het vak Sleutel-URI bevat een waarde.

  8. Selecteer onder Abonnement het abonnement dat de sleutelkluis bevat.

  9. Sla uw wijzigingen op.

De sleutelversie bijwerken

Wanneer u een nieuwe versie van een sleutel maakt, werkt u de Azure AI-servicesresource bij om de nieuwe versie te gebruiken. Volg vervolgens deze stappen:

  1. Ga naar uw Azure AI-servicesresource en selecteer Versleuteling.
  2. Voer de URI in voor de nieuwe sleutelversie. U kunt ook de sleutelkluis selecteren en vervolgens de sleutel opnieuw selecteren om de versie bij te werken.
  3. Sla uw wijzigingen op.

Een andere sleutel gebruiken

Voer de volgende stappen uit om de sleutel te wijzigen die u voor versleuteling gebruikt:

  1. Ga naar uw Azure AI-servicesresource en selecteer Versleuteling.
  2. Voer de URI voor de nieuwe sleutel in. U kunt ook de sleutelkluis selecteren en vervolgens een nieuwe sleutel selecteren.
  3. Sla uw wijzigingen op.

Door de klant beheerde sleutels draaien

U kunt een door de klant beheerde sleutel in Key Vault roteren volgens uw nalevingsbeleid. Wanneer de sleutel wordt gedraaid, moet u de Azure AI-servicesresource bijwerken om de nieuwe sleutel-URI te kunnen gebruiken. Zie De sleutelversie bijwerken voor meer informatie over het bijwerken van de resource voor het gebruik van een nieuwe versie van de sleutel in Azure Portal.

Als u de sleutel roteert, wordt herversleuteling van gegevens in de resource niet geactiveerd. Er is geen verdere actie van de gebruiker vereist.

Een door de klant beheerde sleutel intrekken

Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens in de Azure AI-servicesresource, omdat de versleutelingssleutel niet toegankelijk is voor Azure AI-services.

Door de klant beheerde sleutels uitschakelen

Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw Azure AI-servicesresource vervolgens versleuteld met door Microsoft beheerde sleutels. Voer de volgende stappen uit om door de klant beheerde sleutels uit te schakelen:

  1. Ga naar uw Azure AI-servicesresource en selecteer Versleuteling.
  2. Selecteer Microsoft Managed Keys>Save.

Wanneer u door de klant beheerde sleutels eerder hebt ingeschakeld, heeft dit ook een door het systeem toegewezen beheerde identiteit ingeschakeld, een functie van Microsoft Entra-id. Zodra de door het systeem toegewezen beheerde identiteit is ingeschakeld, wordt deze resource geregistreerd bij Microsoft Entra-id. Nadat de identiteit is geregistreerd, krijgt de beheerde identiteit toegang tot de Sleutelkluis die is geselecteerd tijdens het instellen van de door de klant beheerde sleutel. Meer informatie over beheerde identiteiten.

Belangrijk

Als u door het systeem toegewezen beheerde identiteiten uitschakelt, wordt de toegang tot de sleutelkluis verwijderd en zijn alle gegevens die zijn versleuteld met de klantsleutels niet meer toegankelijk. Alle functies die afhankelijk zijn van deze gegevens, werken niet meer.

Belangrijk

Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's tussen mappen. Wanneer u door de klant beheerde sleutels in Azure Portal configureert, wordt automatisch een beheerde identiteit toegewezen onder de dekkingen. Als u vervolgens het abonnement, de resourcegroep of de resource van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die aan de resource is gekoppeld, niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen in veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resources voor meer informatie.

Volgende stappen