Vertalen versleuteling van data-at-rest
Vertalen uw geüploade gegevens automatisch versleutelt wanneer deze worden bewaard in de cloud om te voldoen aan de beveiligings- en nalevingsdoelen van uw organisatie.
Over Versleuteling van Azure AI-services
Gegevens worden versleuteld en ontsleuteld met FIPS 140-2-compatibele256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.
Over versleutelingssleutelbeheer
Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. Als u een prijscategorie gebruikt die door de klant beheerde sleutels ondersteunt, kunt u de versleutelingsinstellingen voor uw resource zien in de sectie Versleuteling van Azure Portal, zoals wordt weergegeven in de volgende afbeelding.
Voor abonnementen die alleen door Microsoft beheerde versleutelingssleutels ondersteunen, hebt u geen sectie Versleuteling .
Door de klant beheerde sleutels met Azure Key Vault
Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. Er is ook de optie om uw abonnement te beheren met uw eigen sleutels, cmk (door de klant beheerde sleutels). CMK biedt meer flexibiliteit voor het maken, roteren, uitschakelen en intrekken van toegangsbesturingselementen. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens. Als CMK is geconfigureerd voor uw abonnement, wordt dubbele versleuteling geboden, die een tweede beveiligingslaag biedt, terwijl u de versleutelingssleutel kunt beheren via uw Azure Key Vault.
Volg deze stappen om door de klant beheerde sleutels in te schakelen voor Vertalen:
- Maak uw nieuwe regionale Vertalen of regionale Azure AI-servicesresource. Door de klant beheerde sleutels werken niet met een globale resource.
- Beheerde identiteit ingeschakeld in Azure Portal en voeg uw door de klant beheerde sleutelgegevens toe.
- Maak een nieuwe werkruimte in aangepaste Vertalen en koppel deze abonnementsgegevens.
Door de klant beheerde sleutels inschakelen
U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Azure AI-servicesresource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.
Een nieuwe Resource voor Azure AI-services wordt altijd versleuteld met behulp van door Microsoft beheerde sleutels. Het is niet mogelijk om door de klant beheerde sleutels in te schakelen op het moment dat de resource wordt gemaakt. Door de klant beheerde sleutels worden opgeslagen in Azure Key Vault. De sleutelkluis moet worden ingericht met toegangsbeleid dat sleutelmachtigingen verleent aan de beheerde identiteit die is gekoppeld aan de Azure AI-servicesresource. De beheerde identiteit is beschikbaar zodra de resource is gemaakt.
Zie voor meer informatie over het gebruik van door de klant beheerde sleutels met Azure Key Vault voor Azure AI-servicesversleuteling:
Als u door de klant beheerde sleutels inschakelt, wordt ook een door het systeem toegewezen beheerde identiteit ingeschakeld, een functie van Microsoft Entra-id. Zodra de door het systeem toegewezen beheerde identiteit is ingeschakeld, wordt deze resource geregistreerd bij Microsoft Entra-id. Nadat de identiteit is geregistreerd, krijgt de beheerde identiteit toegang tot de Sleutelkluis die is geselecteerd tijdens het instellen van de door de klant beheerde sleutel. Meer informatie over beheerde identiteiten.
Belangrijk
Als u door het systeem toegewezen beheerde identiteiten uitschakelt, wordt de toegang tot de sleutelkluis verwijderd en zijn alle gegevens die zijn versleuteld met de klantsleutels niet meer toegankelijk. Alle functies die afhankelijk zijn van deze gegevens, werken niet meer. Alle modellen die u hebt geïmplementeerd, worden ook niet geïmplementeerd. Alle geüploade gegevens worden verwijderd uit aangepaste Vertalen. Als de beheerde identiteiten opnieuw worden ingeschakeld, implementeren we het model niet automatisch opnieuw voor u.
Belangrijk
Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's tussen mappen. Wanneer u door de klant beheerde sleutels in Azure Portal configureert, wordt automatisch een beheerde identiteit toegewezen onder de dekkingen. Als u vervolgens het abonnement, de resourcegroep of de resource van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die aan de resource is gekoppeld, niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen in veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resources voor meer informatie.
Door de klant beheerde sleutels opslaan in Azure Key Vault
Als u door de klant beheerde sleutels wilt inschakelen, moet u een Azure Key Vault gebruiken om uw sleutels op te slaan. U moet zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis.
Alleen RSA-sleutels van grootte 2048 worden ondersteund met Azure AI-servicesversleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, geheimen en certificaten voor meer informatie over sleutels.
Notitie
Als de hele sleutelkluis wordt verwijderd, worden uw gegevens niet meer weergegeven en worden al uw modellen niet geïmplementeerd. Alle geüploade gegevens worden verwijderd uit aangepaste Vertalen.
Toegang tot door de klant beheerde sleutels intrekken
Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens in de Azure AI-servicesresource en uw modellen worden niet geïmplementeerd, omdat de versleutelingssleutel niet toegankelijk is voor Azure AI-services. Alle geüploade gegevens worden ook verwijderd uit aangepaste Vertalen.