Szyfrowanie danych magazynowanych w usłudze Content Moderator

  • Artykuł

Usługa Content Moderator automatycznie szyfruje dane, gdy są utrwalane w chmurze, co pomaga spełnić cele organizacji w zakresie zabezpieczeń i zgodności.

Informacje o szyfrowaniu usług Azure AI

Dane są szyfrowane i odszyfrowywane przy użyciu szyfrowania AES zgodnego ze standardem FIPS 140-2. Szyfrowanie i odszyfrowywanie są przezroczyste, co oznacza, że szyfrowanie i dostęp są zarządzane. Dane są domyślnie bezpieczne. Nie musisz modyfikować kodu ani aplikacji, aby korzystać z szyfrowania.

Informacje o zarządzaniu kluczami szyfrowania

Domyślnie subskrypcja używa kluczy szyfrowania zarządzanych przez firmę Microsoft. Możesz również zarządzać subskrypcją przy użyciu własnych kluczy, które są nazywane kluczami zarządzanymi przez klienta. W przypadku korzystania z kluczy zarządzanych przez klienta masz większą elastyczność w sposobie tworzenia, obracania, wyłączania i odwoływanie kontroli dostępu. Możesz również przeprowadzić inspekcję kluczy szyfrowania używanych do ochrony danych. Jeśli klucze zarządzane przez klienta są skonfigurowane dla twojej subskrypcji, dostępne jest podwójne szyfrowanie. Dzięki tej drugiej warstwie ochrony możesz kontrolować klucz szyfrowania za pośrednictwem usługi Azure Key Vault.

Ważne

Klucze zarządzane przez klienta są dostępne tylko w warstwie cenowej E0. Aby zażądać możliwości korzystania z kluczy zarządzanych przez klienta, wypełnij formularz żądania klucza zarządzanego przez klienta usługi Content Moderator i prześlij go. Po upływie około 3–5 dni roboczych otrzymasz informacje na temat stanu żądania. W zależności od zapotrzebowania można umieścić w kolejce i zatwierdzić, gdy miejsce stanie się dostępne. Po zatwierdzeniu używania klucza zarządzanego przez klienta z usługą Content Moderator musisz utworzyć nowy zasób usługi Content Moderator i wybrać pozycję E0 jako warstwę cenową. Po utworzeniu zasobu usługi Content Moderator z warstwą cenową E0 możesz użyć usługi Azure Key Vault do skonfigurowania tożsamości zarządzanej.

Klucze zarządzane przez klienta są dostępne we wszystkich regionach świadczenia usługi Azure.

Klucze zarządzane przez klienta za pomocą usługi Azure Key Vault

W przypadku używania kluczy zarządzanych przez klienta należy użyć usługi Azure Key Vault do ich przechowywania. Możesz utworzyć własne klucze i przechowywać je w magazynie kluczy lub użyć interfejsów API usługi Key Vault do generowania kluczy. Zasób usług azure AI i magazyn kluczy muszą znajdować się w tym samym regionie i w tej samej dzierżawie firmy Microsoft Entra, ale mogą znajdować się w różnych subskrypcjach. Aby uzyskać więcej informacji na temat usługi Key Vault, zobacz Co to jest usługa Azure Key Vault?.

Podczas tworzenia nowego zasobu usług Azure AI zawsze jest ona szyfrowana przy użyciu kluczy zarządzanych przez firmę Microsoft. Nie można włączyć kluczy zarządzanych przez klienta podczas tworzenia zasobu. Klucze zarządzane przez klienta są przechowywane w usłudze Key Vault. Magazyn kluczy należy aprowizować przy użyciu zasad dostępu, które udzielają kluczowych uprawnień do tożsamości zarządzanej skojarzonej z zasobem usług Azure AI. Tożsamość zarządzana jest dostępna tylko po utworzeniu zasobu przy użyciu warstwy cenowej wymaganej dla kluczy zarządzanych przez klienta.

Włączenie kluczy zarządzanych przez klienta umożliwia również przypisaną przez system tożsamość zarządzaną, funkcję identyfikatora Entra firmy Microsoft. Po włączeniu tożsamości zarządzanej przypisanej przez system ten zasób jest rejestrowany w usłudze Microsoft Entra ID. Po zarejestrowaniu tożsamość zarządzana ma dostęp do magazynu kluczy wybranego podczas konfigurowania klucza zarządzanego przez klienta.

Ważne

Jeśli wyłączysz tożsamości zarządzane przypisane przez system, dostęp do magazynu kluczy zostanie usunięty, a wszystkie dane zaszyfrowane przy użyciu kluczy klienta nie będą już dostępne. Wszystkie funkcje, które zależą od tych danych, przestają działać.

Ważne

Tożsamości zarządzane nie obsługują scenariuszy z przenoszeniem między katalogami. Podczas konfigurowania kluczy zarządzanych przez klienta w witrynie Azure Portal tożsamość zarządzana jest automatycznie przypisywana w tle. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub zasób z jednego katalogu Firmy Microsoft Entra do innego, tożsamość zarządzana skojarzona z zasobem nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami firmy Microsoft Entra w często zadawanych pytaniach i znanych problemów z tożsamościami zarządzanymi dla zasobów platformy Azure.

Konfigurowanie usługi Key Vault

W przypadku używania kluczy zarządzanych przez klienta należy ustawić dwie właściwości w magazynie kluczy, usuwanie nietrwałe i nie przeczyszczanie. Te właściwości nie są domyślnie włączone, ale można je włączyć w nowym lub istniejącym magazynie kluczy przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Ważne

Jeśli właściwości Usuwania nietrwałego i Nie przeczyszczania nie są włączone i usuwasz klucz, nie możesz odzyskać danych w zasobie usług Azure AI.

Aby dowiedzieć się, jak włączyć te właściwości w istniejącym magazynie kluczy, zobacz Zarządzanie odzyskiwaniem usługi Azure Key Vault z funkcją usuwania nietrwałego i ochrony przed przeczyszczeniem.

Włączanie kluczy zarządzanych przez klienta dla zasobu

Aby włączyć klucze zarządzane przez klienta w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do zasobu usług Azure AI.

  2. Po lewej stronie wybierz pozycję Szyfrowanie.

  3. W obszarze Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta, jak pokazano na poniższym zrzucie ekranu.

    Screenshot of the Encryption settings page for an Azure AI services resource. Under Encryption type, the Customer Managed Keys option is selected.

Określanie klucza

Po włączeniu kluczy zarządzanych przez klienta można określić klucz do skojarzenia z zasobem usług Azure AI.

Określanie klucza jako identyfikatora URI

Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do magazynu kluczy.

  2. W obszarze Ustawienia wybierz pozycję Klucze.

  3. Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.

  4. Skopiuj wartość Identyfikator klucza, która udostępnia identyfikator URI.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Wróć do zasobu usług Azure AI, a następnie wybierz pozycję Szyfrowanie.

  6. W obszarze Klucz szyfrowania wybierz pozycję Wprowadź identyfikator URI klucza.

  7. Wklej skopiowany identyfikator URI w polu Identyfikator URI klucza.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. W obszarze Subskrypcja wybierz subskrypcję zawierającą magazyn kluczy.

  9. Zapisz zmiany.

Określanie klucza z magazynu kluczy

Aby określić klucz z magazynu kluczy, najpierw upewnij się, że masz magazyn kluczy zawierający klucz. Następnie wykonaj poniższe czynności:

  1. Przejdź do zasobu usług Azure AI, a następnie wybierz pozycję Szyfrowanie.

  2. W obszarze Klucz szyfrowania wybierz pozycję Wybierz z usługi Key Vault.

  3. Wybierz magazyn kluczy zawierający klucz, którego chcesz użyć.

  4. Wybierz klucz, którego chcesz użyć.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Zapisz zmiany.

Aktualizowanie wersji klucza

Podczas tworzenia nowej wersji klucza zaktualizuj zasób usług Azure AI, aby używał nowej wersji. Wykonaj te kroki:

  1. Przejdź do zasobu usług Azure AI, a następnie wybierz pozycję Szyfrowanie.
  2. Wprowadź identyfikator URI dla nowej wersji klucza. Alternatywnie możesz wybrać magazyn kluczy, a następnie ponownie wybrać klucz, aby zaktualizować wersję.
  3. Zapisz zmiany.

Użyj innego klucza

Aby zmienić klucz używany do szyfrowania, wykonaj następujące kroki:

  1. Przejdź do zasobu usług Azure AI, a następnie wybierz pozycję Szyfrowanie.
  2. Wprowadź identyfikator URI nowego klucza. Alternatywnie możesz wybrać magazyn kluczy, a następnie wybrać nowy klucz.
  3. Zapisz zmiany.

Rotacja kluczy zarządzanych przez klienta

Klucz zarządzany przez klienta można obrócić w usłudze Key Vault zgodnie z zasadami zgodności. Po rotacji klucza należy zaktualizować zasób usług Azure AI, aby użyć nowego identyfikatora URI klucza. Aby dowiedzieć się, jak zaktualizować zasób, aby użyć nowej wersji klucza w witrynie Azure Portal, zobacz Aktualizowanie wersji klucza.

Obracanie klucza nie powoduje ponownego szyfrowania danych w zasobie. Użytkownik nie musi podejmować żadnych dalszych działań.

Odwoływanie dostępu do kluczy zarządzanych przez klienta

Aby odwołać dostęp do kluczy zarządzanych przez klienta, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz Program PowerShell usługi Azure Key Vault lub interfejs wiersza polecenia usługi Azure Key Vault. Cofanie dostępu skutecznie blokuje dostęp do wszystkich danych w zasobie usług Azure AI, ponieważ klucz szyfrowania jest niedostępny przez usługi Azure AI.

Wyłączanie kluczy zarządzanych przez klienta

Po wyłączeniu kluczy zarządzanych przez klienta zasób usług Azure AI jest następnie szyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby wyłączyć klucze zarządzane przez klienta, wykonaj następujące kroki:

  1. Przejdź do zasobu usług Azure AI, a następnie wybierz pozycję Szyfrowanie.
  2. Wyczyść pole wyboru obok pozycji Użyj własnego klucza.

Następne kroki