Serviço de Compreensão de Idiomas Criptografia de dados em repouso
Importante
O LUIS será aposentado em 1º de outubro de 2025 e a partir de 1º de abril de 2023 você não poderá criar novos recursos do LUIS. Recomendamos migrar seus aplicativos LUIS para o entendimento de linguagem conversacional para se beneficiar do suporte contínuo ao produto e dos recursos multilíngues.
O serviço Language Understanding criptografa automaticamente seus dados quando eles são mantidos na nuvem. A criptografia do serviço Language Understanding protege seus dados e ajuda você a cumprir seus compromissos organizacionais de segurança e conformidade.
Sobre a criptografia de serviços de IA do Azure
Os dados são criptografados e descriptografados usando criptografia AES de 256 bits compatível com FIPS 140-2. A encriptação e a desencriptação são transparentes, o que significa que a encriptação e o acesso são geridos por si. Os dados estão protegidos por predefinição e não precisa de modificar o código ou as aplicações para tirar partido da encriptação.
Sobre o gerenciamento de chaves de criptografia
Por predefinição, a subscrição utiliza chaves de encriptação geridas pela Microsoft. Há também a opção de gerenciar sua assinatura com suas próprias chaves chamadas chaves gerenciadas pelo cliente (CMKs). As CMKs oferecem maior flexibilidade para criar, girar, desativar e revogar controles de acesso. Também pode auditar as chaves de encriptação utilizadas para proteger os dados.
Chaves geridas pelo cliente com o Azure Key Vault
Existe também uma opção para gerir a sua subscrição com as suas próprias chaves. As chaves geridas pelo cliente (CMKs), também conhecidas como Bring Your Own Key (BYOK), oferecem maior flexibilidade para criar, rodar, desativar e revogar os controlos de acesso. Também pode auditar as chaves de encriptação utilizadas para proteger os dados.
Tem de utilizar o Azure Key Vault para armazenar as chaves geridas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. O recurso de serviços de IA do Azure e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?.
Limitações
Há algumas limitações ao usar a camada E0 com aplicativos existentes/criados anteriormente:
- A migração para um recurso E0 será bloqueada. Os usuários só poderão migrar seus aplicativos para recursos F0. Depois de migrar um recurso existente para F0, você pode criar um novo recurso na camada E0.
- A movimentação de aplicativos de ou para um recurso E0 será bloqueada. Uma solução alternativa para essa limitação é exportar seu aplicativo existente e importá-lo como um recurso E0.
- O recurso de verificação ortográfica do Bing não é suportado.
- O registro do tráfego do usuário final será desabilitado se seu aplicativo for E0.
- O recurso de preparação de fala do Serviço de Bot do Azure AI não é suportado para aplicativos na camada E0. Esta funcionalidade está disponível através do Serviço de Bot do Azure AI, que não suporta CMK.
- O recurso de preparação de fala do portal requer o Armazenamento de Blobs do Azure. Para obter mais informações, consulte traga seu próprio armazenamento.
Ativar as chaves geridas pelo cliente
Um novo recurso de serviços de IA do Azure é sempre criptografado usando chaves gerenciadas pela Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente no momento em que o recurso é criado. As chaves gerenciadas pelo cliente são armazenadas no Cofre de Chaves do Azure e o cofre de chaves deve ser provisionado com políticas de acesso que concedam permissões de chave à identidade gerenciada associada ao recurso de serviços de IA do Azure. A identidade gerenciada estará disponível somente depois que o recurso for criado usando o Nível de Preço para CMK.
Para saber como usar chaves gerenciadas pelo cliente com o Azure Key Vault para criptografia de serviços de IA do Azure, consulte:
Habilitar chaves gerenciadas pelo cliente também habilitará uma identidade gerenciada atribuída ao sistema, um recurso do Microsoft Entra ID. Assim que a identidade gerenciada atribuída ao sistema estiver habilitada, esse recurso será registrado com a ID do Microsoft Entra. Depois de ser registrada, a identidade gerenciada terá acesso ao Cofre da Chave selecionado durante a configuração da chave gerenciada pelo cliente. Você pode saber mais sobre Identidades Gerenciadas.
Importante
Se você desabilitar as identidades gerenciadas atribuídas ao sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Quaisquer recursos que dependam desses dados deixarão de funcionar.
Importante
Atualmente, as identidades gerenciadas não oferecem suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente sob as capas. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre diretórios do Microsoft Entra em Perguntas frequentes e Problemas conhecidos com identidades gerenciadas para recursos do Azure.
Armazenar chaves gerenciadas pelo cliente no Azure Key Vault
Para habilitar chaves gerenciadas pelo cliente, você deve usar um Cofre de Chaves do Azure para armazenar suas chaves. Você deve habilitar as propriedades Soft Delete e Do Not Purge no cofre de chaves.
Apenas as chaves RSA de tamanho 2048 são suportadas com a encriptação de serviços de IA do Azure. Para obter mais informações sobre chaves, consulte Chaves do Cofre de Chaves em Sobre chaves, segredos e certificados do Cofre de Chaves do Azure.
Girar chaves gerenciadas pelo cliente
Você pode girar uma chave gerenciada pelo cliente no Cofre de Chaves do Azure de acordo com suas políticas de conformidade. Quando a chave é girada, você deve atualizar o recurso de serviços de IA do Azure para usar o novo URI de chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, consulte a seção intitulada Atualizar a versão da chave em Configurar chaves gerenciadas pelo cliente para serviços de IA do Azure usando o portal do Azure.
Girar a chave não aciona a nova criptografia de dados no recurso. Não é necessária nenhuma ação adicional por parte do utilizador.
Revogar o acesso a chaves gerenciadas pelo cliente
Para revogar o acesso a chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. Revogar o acesso bloqueia efetivamente o acesso a todos os dados no recurso de serviços de IA do Azure, pois a chave de criptografia é inacessível pelos serviços de IA do Azure.