Criptografia de dados inativos através de Serviço de linguagem
O serviço de Linguagem criptografa automaticamente seus dados quando eles são persistidos na nuvem. A criptografia do serviço de Linguagem proteja seus dados e ajuda você a cumprir suas confirmações de segurança e conformidade organizacional.
Sobre a criptografia dos Serviços de IA do Azure
Os dados são criptografados e descriptografados usando a criptografia AES de 256 bits em conformidade com o padrão FIPS 140-2. A criptografia e a descriptografia são transparentes, o que significa que a criptografia e o acesso são gerenciados para você. Como os dados são protegidos por padrão, você não precisa modificar seu código ou seus aplicativos para aproveitar a criptografia.
Sobre o gerenciamento de chaves de criptografia
Por padrão, sua assinatura usa chaves de criptografia gerenciadas pela Microsoft. Também há a opção de gerenciar sua assinatura com as próprias chaves chamada CMK (chaves gerenciadas pelo cliente). A CMK oferece maior flexibilidade para criar, desabilitar e revogar controles de acesso, assim como fazer a rotação deles. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.
Chaves gerenciadas pelo cliente com o Azure Key Vault
Também há uma opção para gerenciar sua assinatura com as próprias chaves. A CMK (chaves gerenciadas pelo cliente), também conhecida como BYOK (Bring Your Own Key), oferecem maior flexibilidade para criar, desabilitar e revogar controles de acesso, assim como fazer a rotação deles. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.
Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O recurso de serviços de IA do Azure e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.
Habilitar chaves gerenciadas pelo cliente
Um novo recurso dos serviços de IA do Azure sempre é criptografado usando as chaves gerenciadas pela Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente no momento em que o recurso é criado. As chaves gerenciadas pelo cliente são armazenadas no Azure Key Vault, e o cofre de chaves deve ser provisionado com políticas de acesso que concedam permissões de chave à identidade gerenciada que está associada ao recurso de serviços de IA do Azure. A identidade gerenciada está disponível somente depois que o recurso é criado usando o tipo de preço para a CMK.
Para saber como usar chaves gerenciadas pelo cliente com o Azure Key Vault para a criptografia dos serviços de IA do Azure, consulte:
Habilitar chaves gerenciadas pelo cliente também habilitará uma identidade gerenciada atribuída pelo sistema, um recurso da Microsoft Entra ID. Depois que a identidade gerenciada atribuída pelo sistema estiver habilitada, esse recurso será registrado com o Microsoft Entra ID. Depois de ser registrada, a identidade gerenciada receberá acesso ao Key Vault selecionado durante a configuração de chave gerenciada pelo cliente. Saiba mais sobre Identidades gerenciadas.
Importante
Se você desabilitar as identidades gerenciadas atribuídas ao sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos dependentes desses dados deixarão de funcionar.
Importante
Identidades gerenciadas não têm suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Como transferir uma assinatura entre diretórios do Microsoft Entra em perguntas frequentes e problemas conhecidos com identidades gerenciadas para recursos do Azure.
Armazenar chaves gerenciadas pelo cliente no Azure Key Vault
Para habilitar chaves gerenciadas pelo cliente, você precisa usar um Azure Key Vault para armazenar suas chaves. Habilite as propriedades Exclusão Temporária e Não Limpar no cofre de chaves.
Apenas chaves RSA de tamanho 2048 têm suporte para a criptografia dos serviços de IA do Azure. Para obter mais informações sobre chaves, confira Chaves do Key Vault em Sobre chaves, segredos e certificados do Azure Key Vault.
Fazer a rotação de chaves gerenciadas pelo cliente
Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Quando a chave for rotacionada, você deverá atualizar o recurso dos serviços de IA do Azure para utilizar o novo URI de chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, consulte a seção intitulada Atualizar a versão da chave em Configurar chaves gerenciadas pelo cliente para os serviços de IA do Azure utilizando o portal do Azure.
A rotação da chave não dispara uma nova criptografia dos dados no recurso. Nenhuma ação adicional necessária pelo usuário.
Revogar o acesso a chaves gerenciadas pelo cliente
Para revogar o acesso às chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, confira PowerShell do Azure Key Vault ou CLI do Azure Key Vault. A revogação do acesso bloqueia efetivamente o acesso a todos os dados no recurso dos serviços de IA do Azure, pois a chave de criptografia é inacessível pelos serviços de IA do Azure.