Encriptação de dados em repouso no Personalizer

Personalizer é um serviço em Azure Cognitive Services que usa um modelo de machine learning para fornecer aplicações com conteúdo personalizado para o utilizador. Quando o Personaler persiste os dados na nuvem, encripta esses dados. Esta encriptação protege os seus dados e ajuda-o a cumprir os compromissos de segurança organizacional e de conformidade.

Sobre a encriptação dos Serviços Cognitivos

Os dados são encriptados e desencriptados utilizando encriptação AES de 140-2 conformes com o FIPS . A encriptação e desencriptação são transparentes, o que significa que a encriptação e o acesso são geridos para si. Os seus dados são seguros por defeito. Não precisa de modificar o seu código ou aplicações para aproveitar a encriptação.

Sobre a gestão de chaves de encriptação

Por predefinição, a subscrição utiliza chaves de encriptação geridas pela Microsoft. Também pode gerir a sua subscrição com as suas próprias chaves, que são chamadas chaves geridas pelo cliente. Quando utiliza as teclas geridas pelo cliente, tem uma maior flexibilidade na forma como cria, roda, desativa e revoga os controlos de acesso. Também pode auditar as chaves de encriptação que utiliza para proteger os seus dados. Se as teclas geridas pelo cliente estiverem configuradas para a sua subscrição, é fornecida uma dupla encriptação. Com esta segunda camada de proteção, pode controlar a chave de encriptação através do seu Key Vault Azure.

Importante

As chaves geridas pelo cliente só estão disponíveis com o nível de preços E0. Para solicitar a capacidade de utilizar chaves geridas pelo cliente, preencha e envie o Formulário de Pedido de Pedido de Customer-Managed DeSemperante. Leva aproximadamente 3 a 5 dias úteis para ouvir de volta sobre o estado do seu pedido. Se a procura for elevada, poderá ser colocado numa fila e aprovado quando o espaço estiver disponível.

Depois de aprovado para usar as chaves geridas pelo cliente com o Personalizer, crie um novo recurso Personalizer e selecione E0 como o nível de preços. Depois de criar esse recurso, pode usar o Azure Key Vault para configurar a sua identidade gerida.

Chaves geridas pelo cliente com o Azure Key Vault

Quando utilizar as teclas geridas pelo cliente, deve utilizar o Key Vault Azure para as armazenar. Pode criar as suas próprias chaves e armazená-las num cofre de chaves, ou pode usar as APIs Key Vault para gerar chaves. O recurso de Serviços Cognitivos e o cofre-chave devem estar na mesma região e no mesmo inquilino do Azure Ative Directory (Azure AD), mas podem estar em diferentes subscrições. Para mais informações sobre Key Vault, veja o que é Azure Key Vault?

Quando cria um novo recurso de Serviços Cognitivos, é sempre encriptado usando teclas geridas pela Microsoft. Não é possível ativar as chaves geridas pelo cliente quando cria o recurso. As chaves geridas pelo cliente são armazenadas em Key Vault. O cofre-chave precisa de ser aprovisionado com políticas de acesso que concedam permissões-chave à identidade gerida associada ao recurso dos Serviços Cognitivos. A identidade gerida só está disponível após a criação do recurso utilizando o nível de preços necessário para as chaves geridas pelo cliente.

Ativar as chaves geridas pelo cliente também permite uma identidade gerida atribuída ao sistema, uma característica de Azure AD. Após a ativação da identidade gerida atribuída pelo sistema, este recurso é registado com Azure AD. Depois de registada, a identidade gerida é dada acesso ao cofre chave que é selecionado durante a configuração da chave gerida pelo cliente.

Importante

Se desativar as identidades geridas atribuídas pelo sistema, o acesso ao cofre da chave é removido e quaisquer dados encriptados com as chaves do cliente já não estão acessíveis. Quaisquer funcionalidades que dependam destes dados deixam de funcionar.

Importante

As identidades geridas não suportam atualmente cenários de diretórios cruzados. Quando configura as chaves geridas pelo cliente no portal do Azure, uma identidade gerida é automaticamente atribuída nos bastidores. Se posteriormente mover a subscrição, o grupo de recursos ou o recurso de um diretório Azure AD para outro, a identidade gerida que está associada ao recurso não é transferida para o novo inquilino, pelo que as chaves geridas pelo cliente podem deixar de funcionar. Para obter mais informações, consulte a Transferência de uma subscrição entre Azure AD diretórios em FAQs e questões conhecidas com identidades geridas para recursos Azure.

Configurar Key Vault

Quando utilizar as teclas geridas pelo cliente, tem de definir duas propriedades no cofre da chave, Soft Delete e Não Purgar. Estas propriedades não são ativadas por padrão, mas pode habilirá-las a um cofre de chaves novo ou existente usando o portal do Azure, PowerShell ou Azure CLI.

Importante

Se as propriedades Soft Delete e Não Purgar não estiverem ativadas e eliminar a sua chave, não poderá recuperar os dados no seu recurso Serviços Cognitivos.

Para aprender a ativar estas propriedades num cofre de chaves existente, consulte a Azure Key Vault gestão de recuperação com proteção de eliminação e purga suave.

Ativar as chaves geridas pelo cliente para o seu recurso

Para ativar as chaves geridas pelo cliente no portal do Azure, siga estes passos:

  1. Vá ao seu recurso de Serviços Cognitivos.

  2. À esquerda, selecione Encriptação.

  3. No tipo de encriptação, selecione As Teclas geridas pelo cliente, como mostrado na imagem seguinte.

    Screenshot da página de definições de encriptação para um recurso de Serviços Cognitivos. Sob o tipo de encriptação, a opção Chaves Geridas pelo Cliente é selecionada.

Especificar uma chave

Depois de ativar as teclas geridas pelo cliente, pode especificar uma chave para associar ao recurso Serviços Cognitivos.

Especifique uma chave como um URI

Para especificar uma chave como URI, siga estes passos:

  1. No portal do Azure, vá para o seu cofre.

  2. Em Definições, selecione Teclas.

  3. Selecione a tecla desejada e, em seguida, selecione a chave para visualizar as suas versões. Selecione uma versão chave para visualizar as definições para esta versão.

  4. Copie o valor do identificador chave , que fornece o URI.

    Screenshot da página portal do Azure para uma versão chave. A caixa do identificador chave contém um espaço reservado para um URI chave.

  5. Voltar ao seu recurso de Serviços Cognitivos e, em seguida, selecione Encriptação.

  6. Na tecla de encriptação, selecione Introduza a tecla URI.

  7. Cole o URI que copiou na caixa Key URI .

    Screenshot da página de encriptação para um recurso de Serviços Cognitivos. A opção URI da chave entrar é selecionada e a caixa Key URI contém um valor.

  8. Em Subscrição, selecione a subscrição que contém o cofre de chaves.

  9. Guarde as alterações.

Especifique uma chave de um cofre chave

Para especificar uma chave de um cofre de chaves, certifique-se primeiro de que tem um cofre que contém uma chave. Em seguida, siga estes passos:

  1. Vá ao seu recurso de Serviços Cognitivos e, em seguida, selecione Encriptação.

  2. Na tecla de encriptação, selecione Selecione a partir de Key Vault.

  3. Selecione o cofre de chaves que contém a chave que pretende utilizar.

  4. Selecione a chave que pretende utilizar.

    Screenshot da chave Select da página Key Vault Azure na portal do Azure. As caixas de subscrição, cofre de chaves, chave e versão contêm valores.

  5. Guarde as alterações.

Atualizar a versão chave

Quando criar uma nova versão de uma chave, atualize o recurso Serviços Cognitivos para utilizar a nova versão. Siga estes passos:

  1. Vá ao seu recurso de Serviços Cognitivos e, em seguida, selecione Encriptação.
  2. Introduza o URI para a nova versão chave. Em alternativa, pode selecionar o cofre da chave e, em seguida, selecionar novamente a chave para atualizar a versão.
  3. Guarde as alterações.

Use uma chave diferente

Para alterar a chave que utiliza para encriptação, siga estes passos:

  1. Vá ao seu recurso de Serviços Cognitivos e, em seguida, selecione Encriptação.
  2. Insira o URI para a nova chave. Em alternativa, pode selecionar o cofre da chave e, em seguida, selecionar uma nova chave.
  3. Guarde as alterações.

Rode as teclas geridas pelo cliente

Pode rodar uma chave gerida pelo cliente em Key Vault de acordo com as suas políticas de conformidade. Quando a tecla estiver rodada, deve atualizar o recurso Serviços Cognitivos para utilizar a nova chave URI. Para saber como atualizar o recurso para utilizar uma nova versão da chave no portal do Azure, consulte a versão chave.

Rodar a tecla não desencadeia a reencriminação de dados no recurso. Não são necessárias mais medidas por parte do utilizador.

Revogar o acesso às chaves geridas pelo cliente

Para revogar o acesso às chaves geridas pelo cliente, utilize o PowerShell ou o Azure CLI. Para mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. Revogar o acesso bloqueia eficazmente o acesso a todos os dados do recurso Serviços Cognitivos, porque a chave de encriptação é inacessível pelos Serviços Cognitivos.

Desativar as chaves geridas pelo cliente

Quando desativa as teclas geridas pelo cliente, o seu recurso Serviços Cognitivos é então encriptado com teclas geridas pela Microsoft. Para desativar as chaves geridas pelo cliente, siga estes passos:

  1. Vá ao seu recurso de Serviços Cognitivos e, em seguida, selecione Encriptação.
  2. Limpe a caixa de verificação que está ao lado use a sua própria chave.

Passos seguintes