Language Understanding-serviceversleuteling van data-at-rest
Belangrijk
LUIS wordt op 1 oktober 2025 buiten gebruik gesteld en vanaf 1 april 2023 kunt u geen nieuwe LUIS-resources maken. We raden u aan uw LUIS-toepassingen te migreren naar gesprekstaalbegrip om te profiteren van continue productondersteuning en meertalige mogelijkheden.
De Language Understanding-service versleutelt uw gegevens automatisch wanneer deze worden bewaard in de cloud. De Language Understanding-serviceversleuteling beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie.
Over Versleuteling van Azure AI-services
Gegevens worden versleuteld en ontsleuteld met FIPS 140-2-compatibele256-bits AES-versleuteling . Versleuteling en ontsleuteling zijn transparant, wat betekent dat versleuteling en toegang voor u worden beheerd. Uw gegevens zijn standaard beveiligd en u hoeft uw code of toepassingen niet te wijzigen om van versleuteling te kunnen profiteren.
Over versleutelingssleutelbeheer
Uw abonnement maakt standaard gebruik van door Microsoft beheerde versleutelingssleutels. Er is ook de optie om uw abonnement te beheren met uw eigen sleutels, cmk's (door de klant beheerde sleutels). CMK's bieden meer flexibiliteit voor het maken, draaien, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.
Door de klant beheerde sleutels met Azure Key Vault
Er is ook een optie om uw abonnement te beheren met uw eigen sleutels. Door de klant beheerde sleutels (CMK), ook wel bekend als BYOK (Bring Your Own Key), bieden meer flexibiliteit bij het maken, roteren, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.
U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. De Azure AI-servicesresource en de sleutelkluis moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.
Beperkingen
Er zijn enkele beperkingen bij het gebruik van de E0-laag met bestaande/eerder gemaakte toepassingen:
- Migratie naar een E0-resource wordt geblokkeerd. Gebruikers kunnen hun apps alleen migreren naar F0-resources. Nadat u een bestaande resource naar F0 hebt gemigreerd, kunt u een nieuwe resource maken in de E0-laag.
- Het verplaatsen van toepassingen naar of van een E0-resource wordt geblokkeerd. Een oplossing voor deze beperking is het exporteren van uw bestaande toepassing en het importeren als een E0-resource.
- De functie Bing Spellingcontrole wordt niet ondersteund.
- Logboekregistratie van eindgebruikersverkeer is uitgeschakeld als uw toepassing E0 is.
- De spraak-priming-mogelijkheid van de Azure AI Bot Service wordt niet ondersteund voor toepassingen in de E0-laag. Deze functie is beschikbaar via de Azure AI Bot Service, die GEEN ondersteuning biedt voor CMK.
- Voor de functie voor spraakaanbieding vanuit de portal is Azure Blob Storage vereist. Zie Bring Your Own Storage voor meer informatie.
Door de klant beheerde sleutels inschakelen
Een nieuwe Resource voor Azure AI-services wordt altijd versleuteld met behulp van door Microsoft beheerde sleutels. Het is niet mogelijk om door de klant beheerde sleutels in te schakelen op het moment dat de resource wordt gemaakt. Door de klant beheerde sleutels worden opgeslagen in Azure Key Vault en de sleutelkluis moet worden ingericht met toegangsbeleid dat sleutelmachtigingen verleent aan de beheerde identiteit die is gekoppeld aan de Azure AI-servicesresource. De beheerde identiteit is alleen beschikbaar nadat de resource is gemaakt met behulp van de prijscategorie voor CMK.
Zie voor meer informatie over het gebruik van door de klant beheerde sleutels met Azure Key Vault voor Azure AI-servicesversleuteling:
Als u door de klant beheerde sleutels inschakelt, wordt ook een door het systeem toegewezen beheerde identiteit ingeschakeld, een functie van Microsoft Entra-id. Zodra de door het systeem toegewezen beheerde identiteit is ingeschakeld, wordt deze resource geregistreerd bij Microsoft Entra-id. Nadat de identiteit is geregistreerd, krijgt de beheerde identiteit toegang tot de Sleutelkluis die is geselecteerd tijdens het instellen van de door de klant beheerde sleutel. Meer informatie over beheerde identiteiten.
Belangrijk
Als u door het systeem toegewezen beheerde identiteiten uitschakelt, wordt de toegang tot de sleutelkluis verwijderd en zijn alle gegevens die zijn versleuteld met de klantsleutels niet meer toegankelijk. Alle functies die afhankelijk zijn van deze gegevens, werken niet meer.
Belangrijk
Beheerde identiteiten bieden momenteel geen ondersteuning voor scenario's tussen mappen. Wanneer u door de klant beheerde sleutels in Azure Portal configureert, wordt automatisch een beheerde identiteit toegewezen onder de dekkingen. Als u vervolgens het abonnement, de resourcegroep of de resource van de ene Microsoft Entra-map naar een andere verplaatst, wordt de beheerde identiteit die aan de resource is gekoppeld, niet overgedragen naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Een abonnement overdragen tussen Microsoft Entra-mappen in veelgestelde vragen en bekende problemen met beheerde identiteiten voor Azure-resources voor meer informatie.
Door de klant beheerde sleutels opslaan in Azure Key Vault
Als u door de klant beheerde sleutels wilt inschakelen, moet u een Azure Key Vault gebruiken om uw sleutels op te slaan. U moet zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis.
Alleen RSA-sleutels van grootte 2048 worden ondersteund met Azure AI-servicesversleuteling. Zie Key Vault-sleutels in Over Azure Key Vault-sleutels, geheimen en certificaten voor meer informatie over sleutels.
Door de klant beheerde sleutels draaien
U kunt een door de klant beheerde sleutel in Azure Key Vault roteren volgens uw nalevingsbeleid. Wanneer de sleutel wordt gedraaid, moet u de Azure AI-servicesresource bijwerken om de nieuwe sleutel-URI te kunnen gebruiken. Als u wilt weten hoe u de resource bijwerkt voor het gebruik van een nieuwe versie van de sleutel in Azure Portal, raadpleegt u de sectie met de titel De sleutelversie bijwerken in Door de klant beheerde sleutels voor Azure AI-services configureren met behulp van Azure Portal.
Het roteren van de sleutel activeert geen herversleuteling van gegevens in de resource. Er is geen verdere actie vereist voor de gebruiker.
Toegang tot door de klant beheerde sleutels intrekken
Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens in de Azure AI-servicesresource, omdat de versleutelingssleutel niet toegankelijk is voor Azure AI-services.