Compartilhar via

Criptografia de comandos personalizados de dados em repouso

  • Artigo

Importante

Os comandos personalizados serão desativados em 30 de abril de 2026. A partir de 30 de outubro de 2023, não é possível criar novos aplicativos de Comandos Personalizados no Speech Studio. Relacionado a essa alteração, o LUIS será desativado em 1º de outubro de 2025. A partir de 1º de abril de 2023, não é possível criar novos recursos do LUIS.

Os Comandos Personalizados criptografam automaticamente os dados quando eles são mantidos na nuvem. A criptografia do serviço dos Comandos Personalizados protege seus dados e ajuda a atender aos compromissos de conformidade e segurança de sua organização.

Observação

O serviço dos Comandos Personalizados não habilita automaticamente a criptografia para os recursos do LUIS associados ao seu aplicativo. Se necessário, você deve habilitar a criptografia para o recurso LUIS aqui.

Sobre a criptografia dos Serviços de IA do Azure

Os dados são criptografados e descriptografados usando a criptografia AES de 256 bits em conformidade com o padrão FIPS 140-2. A criptografia e a descriptografia são transparentes, o que significa que a criptografia e o acesso são gerenciados para você. Como os dados são protegidos por padrão, você não precisa modificar seu código ou seus aplicativos para aproveitar a criptografia.

Sobre o gerenciamento de chaves de criptografia

Ao usar os Comandos Personalizados, o serviço de fala armazena os seguintes dados na nuvem:

  • Configuração JSON por trás do aplicativo de Comandos Personalizados
  • Chave de criação e previsão do LUIS

Por padrão, sua assinatura usa chaves de criptografia gerenciadas pela Microsoft. No entanto, você também pode gerenciar sua assinatura com suas próprias chaves de criptografia. As Chaves Gerenciadas pelo Cliente (CMK), também conhecidas como Bring Your Own Key (BYOK), oferecem maior flexibilidade para criar, girar, desabilitar e revogar controles de acesso. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Importante

As chaves gerenciadas pelo cliente são recursos disponíveis se criadas depois de 27 de junho de 2020. Para usar a CMK com o Serviço de Fala, será necessário criar um recurso de Fala. Depois que o recurso for criado, você poderá usar o Azure Key Vault para configurar sua identidade gerenciada.

Para solicitar a capacidade de usar chaves gerenciadas pelo cliente, preencha e envie o formulário de solicitação de chaves gerenciadas pelo cliente. O retorno de status da sua solicitação leva cerca de três a cinco dias úteis. Dependendo da demanda, você pode ser colocado em uma fila e ser aprovado assim que houver espaço disponível. Depois de aprovado para usar a CMK com o Serviço de Fala, é necessário criar um recurso de Fala no portal do Azure.

Observação

As chaves gerenciadas pelo cliente (CMK) têm suporte apenas para comandos personalizados.

A fala personalizada e a voz personalizada ainda são compatíveis apenas com o Traga seu Próprio Armazenamento (BYOS).Saiba mais

Se você estiver usando o recurso de fala específico para acessar esse serviço, as necessidades de conformidade deverão ser atendidas configurando explicitamente a BYOS.

Chaves gerenciadas pelo cliente com o Azure Key Vault

Você precisa usar o Azure Key Vault para armazenar chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O recurso de Fala e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.

Quando um novo recurso de Fala é criado e usado para provisionar aplicativos de Comandos Personalizados, os dados sempre são criptografados usando chaves gerenciadas pela Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente no momento em que o recurso é criado. As chaves gerenciadas pelo cliente são armazenadas no Azure Key Vault, e o cofre de chaves deve ser provisionado com políticas de acesso que concedam permissões de chave à identidade gerenciada que está associada ao recurso de serviços de IA do Azure. A identidade gerenciada fica disponível somente depois que o recurso é criado usando o tipo de preço exigido para a CMK.

A habilitação das chaves gerenciadas pelo cliente também habilitará uma identidade gerenciada atribuída ao sistema, um recurso do Microsoft Entra ID. Assim que a identidade gerenciada atribuída pelo sistema for habilitada, esse recurso será registrado no Microsoft Entra ID. Depois de registrada, a identidade gerenciada receberá acesso ao Key Vault selecionado durante a configuração da chave gerenciada pelo cliente.

Importante

Se você desabilitar as identidades gerenciadas atribuídas ao sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos dependentes desses dados deixarão de funcionar.

Importante

Identidades gerenciadas não têm suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Como transferir uma assinatura entre diretórios do Microsoft Entra em perguntas frequentes e problemas conhecidos com identidades gerenciadas para recursos do Azure.

Configurar o Azure Key Vault

O uso de chaves gerenciadas pelo cliente exige que duas propriedades sejam definidas no cofre de chaves: Exclusão Reversível e Não Limpar. Essas propriedades não estão habilitadas por padrão, mas podem ser habilitadas usando o PowerShell ou a CLI do Azure em um cofre de chaves novo ou existente.

Importante

Se você não tiver as propriedades Exclusão Temporária e Não Limpar habilitadas e excluir sua chave, não será possível recuperar os dados no recurso dos serviços de IA do Azure.

Para saber como habilitar essas propriedades em um cofre de chaves existente, confira as seções intituladas Como habilitar a exclusão temporária e Como habilitar a proteção contra a limpeza em um dos seguintes artigos:

Somente as chaves RSA de tamanho 2048 são compatíveis com a criptografia do Armazenamento do Azure. Para obter mais informações sobre chaves, confira Chaves do Key Vault em Sobre chaves, segredos e certificados do Azure Key Vault.

Habilitar chaves gerenciadas pelo cliente para seu recurso de Fala

Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:

  1. Navegue até o recurso de Fala.
  2. Na página Configurações do recurso de Fala, selecione Criptografia. Selecione a opção Chaves Gerenciadas Pelo Cliente, conforme mostrado na figura a seguir.

Screenshot showing how to select Customer Managed Keys

Especificar uma chave

Depois de habilitar as chaves gerenciadas pelo cliente, você terá a oportunidade de especificar uma chave para associar ao recurso de serviços de IA do Azure.

Especificar uma chave como URI

Para especificar uma chave como um URI, siga estas etapas:

  1. Para localizar o URI da chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração Chaves. Selecione a chave desejada e depois clique na chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

  2. Copie o valor do campo Identificador da Chave, que fornece o URI.

    Screenshot showing key vault key URI

  3. Nas configurações de Criptografia do serviço de Fala, escolha a opção Inserir URI de chave.

  4. Cole o URI que você copiou no campo URI da Chave.

  5. Especifique a assinatura que contém o cofre de chaves.

  6. Salve suas alterações.

Especificar uma chave de um cofre de chaves

Para especificar uma chave de um cofre de chaves, primeiro verifique se você tem um cofre de chaves que contém uma chave. Para especificar uma chave de um cofre de chaves, siga estas etapas:

  1. Escolha a opção Selecionar do Cofre de chaves.

  2. Selecione o cofre de chaves que contém a chave que você deseja usar.

  3. Selecione a chave no cofre de chaves.

    Screenshot showing customer-managed key option

  4. Salve suas alterações.

Atualizar a versão da chave

Ao criar uma versão de uma chave, atualize o recurso de Fala para usar a nova versão. Siga estas etapas:

  1. Navegue até o recurso de Fala e exiba as configurações de Criptografia.
  2. Insira o URI da nova versão da chave. Como alternativa, você pode selecionar o cofre de chaves e a chave novamente para atualizar a versão.
  3. Salve suas alterações.

Usar uma chave diferente

Para alterar a chave usada para criptografia, siga estas etapas:

  1. Navegue até o recurso de Fala e exiba as configurações de Criptografia.
  2. Insira o URI da nova chave. Como alternativa, você pode selecionar o cofre de chaves e escolher uma nova chave.
  3. Salve suas alterações.

Fazer a rotação de chaves gerenciadas pelo cliente

Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Quando ocorre a rotação da chave, você precisa atualizar o recurso do serviço de Fala para usar o novo URI da chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, confira Atualizar a versão da chave.

Girar a chave não dispara a recriptografia de dados no recurso. Não há nenhuma ação adicional necessária por parte do usuário.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso às chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, confira PowerShell do Azure Key Vault ou CLI do Azure Key Vault. A revogação do acesso bloqueia efetivamente o acesso a todos os dados no recurso dos serviços de IA do Azure, pois a chave de criptografia é inacessível pelos serviços de IA do Azure.

Desabilitar as chaves gerenciadas pelo cliente

Quando você desabilita chaves gerenciadas pelo cliente, seu recurso de Fala é criptografado com chaves gerenciadas pela Microsoft. Para desabilitar as chaves gerenciadas pelo cliente, siga estas etapas:

  1. Navegue até o recurso de Fala e exiba as configurações de Criptografia.
  2. Desmarque a caixa de seleção ao lado da configuração Usar sua chave.

Próximas etapas