Пользовательские команды для шифрования неактивных данных

  • Статья

Важно!

Пользовательские команды будут прекращены 30 апреля 2026 года. По состоянию на 30 октября 2023 г. в Speech Studio нельзя создавать новые приложения пользовательских команд. В связи с этим изменением LUIS будет прекращена 1 октября 2025 года. По состоянию на 1 апреля 2023 г. невозможно создать новые ресурсы LUIS.

Пользовательские команды автоматически шифруют данные при сохранении в облаке. Шифрование в службе пользовательских голосовых команд защищает данные и помогает соблюдать корпоративные обязательства по обеспечению безопасности и соответствия.

Примечание.

Служба пользовательских голосовых команд не выполняет автоматическое шифрование ресурсов LUIS, связанных с вашим приложением. Если вам необходимо включить шифрование для ресурса LUIS, сделать это можно здесь.

Сведения о шифровании служб ИИ Azure

Шифрование и расшифровка данных выполняется с помощью 256-битного шифрования AES по стандарту FIPS 140-2. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Об управлении ключами шифрования

При использовании пользовательских команд служба распознавания речи хранит следующие данные в облаке:

  • Конфигурация JSON для приложения службы пользовательских голосовых команд.
  • Ключи разработки и прогнозирования LUIS.

По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Однако вы также можете управлять подпиской с помощью собственных ключей шифрования. Управляемые клиентом ключи (CMK), которые также называются ключами BYOK, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Важно!

Ключи, управляемые клиентом, — это доступные ресурсы, созданные после 27 июня 2020 г. Чтобы использовать CMK со службой "Речь", необходимо создать новый ресурс "Речь". После создания ресурса можно использовать Azure Key Vault для настройки управляемого удостоверения.

Чтобы запросить возможность использования ключей, управляемых клиентом, заполните и отправьте форму запроса управляемого клиентом ключа. Это занимает около 3-5 рабочих дней, чтобы услышать о состоянии вашего запроса. В зависимости от спроса вы можете поместить в очередь и утвердить его по мере того, как пространство становится доступным. После утверждения для использования CMK со службой "Речь" необходимо создать новый ресурс службы "Речь" из портал Azure.

Примечание.

Ключи, управляемые клиентом (CMK), поддерживаются только для пользовательских команд.

Пользовательская речь и пользовательский голос по-прежнему поддерживают только собственные служба хранилища (BYOS).Подробнее

Если вы используете заданный ресурс службы речи для доступа к этим службам, необходимо обеспечить соответствие требованиям, явно настроив BYOS.

Управляемые клиентом ключи с использованием Azure Key Vault

Для хранения управляемых клиентом ключей используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс "Речь" и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.

При создании и использовании нового ресурса службы "Речь" для подготовки приложений пользовательских команд данные всегда шифруются с помощью ключей, управляемых Корпорацией Майкрософт. Во время создания ресурса невозможно включить ключи, управляемые клиентом. Управляемые клиентом ключи хранятся в Azure Key Vault, и хранилище ключей должно быть подготовлено с помощью политик доступа, которые предоставляют разрешения ключа управляемому удостоверению, связанному с ресурсом служб искусственного интеллекта Azure. Управляемое удостоверение доступно только после создания ресурса с использованием ценовой категории, необходимой для управляемых клиентом ключей.

Включение ключей, управляемых клиентом, также включает управляемое удостоверение, назначенное системой, функцию идентификатора Microsoft Entra. После включения управляемого удостоверения, назначаемого системой, этот ресурс регистрируется в идентификаторе Microsoft Entra. После регистрации управляемое удостоверение получает доступ к Key Vault, выбранному во время настройки ключа, управляемого клиентом.

Важно!

Если отключить назначаемые системой управляемые удостоверения, доступ к хранилищу ключей будет прекращен, а все данные, зашифрованные с использованием ключей клиента, будут недоступны. Соответственно, все функции, зависящие от этих данных, перестанут работать.

Важно!

Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение назначается автоматически. Если вы впоследствии перемещаете подписку, группу ресурсов или ресурс из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с ресурсом, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в статье "Передача подписки между каталогами Microsoft Entra в часто задаваемых вопросых и известных проблемах с управляемыми удостоверениями для ресурсов Azure".

Настройка Azure Key Vault

Для использования управляемых клиентом ключей необходимо задать для хранилища ключей два свойства: Обратимое удаление и Не очищать. Эти свойства не включены по умолчанию, но их можно включить с помощью PowerShell или Azure CLI в новом или существующем хранилище ключей.

Важно!

Если у вас нет свойств обратимого удаления и не очищать его и удалить ключ, вы не сможете восстановить данные в ресурсе служб искусственного интеллекта Azure.

Чтобы узнать, как включить эти свойства в имеющемся хранилище ключей, см. разделы Включение обратимого удаления и Включение защиты от очистки в одной из следующих статей:

Для шифрования в службе хранилища Azure поддерживаются только ключи RSA размером 2048. Дополнительные сведения о ключах Key Vault см. в статье Сведения о ключах, секретах и сертификатах Azure Key Vault.

Включение управляемых клиентом ключей для ресурса службы речи

Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу службы речи.
  2. На странице Параметры ресурса "Речь" выберите "Шифрование". Выберите параметр Управляемые клиентом ключи, как показано на следующем рисунке.

Screenshot showing how to select Customer Managed Keys

Указание ключа

После включения ключей, управляемых клиентом, у вас будет возможность указать ключ для связывания с ресурсом служб искусственного интеллекта Azure.

Указание ключа в качестве URI

Чтобы указать ключ с помощью URI, выполните следующие действия.

  1. Чтобы найти URI ключа на портале Azure, перейдите в хранилище ключей и выберите параметр Ключи. Выберите нужный ключ, а затем щелкните его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

  2. Скопируйте значение поля Идентификатор ключа, которое предоставляет универсальный код ресурса (URI).

    Screenshot showing key vault key URI

  3. В разделе параметров Шифрование для службы речи выберите параметр Введите URI ключа.

  4. Вставьте скопированный URI в поле URI ключа.

  5. Укажите подписку, которая содержит хранилище ключей.

  6. Сохранение изменений.

Указание ключа из хранилища ключей

Чтобы указать ключ из хранилища ключей, сначала убедитесь в наличии доступа к этому хранилищу. Чтобы указать ключ из хранилища ключей, выполните следующие действия.

  1. Выберите параметр Выбрать в Key Vault.

  2. Выберите хранилище ключей, содержащее ключ, который вы хотите использовать.

  3. Выберите ключ из хранилища ключей.

    Screenshot showing customer-managed key option

  4. Сохранение изменений.

Обновление версии ключа

При создании новой версии ключа обновите ресурс службы речи, чтобы в нем использовалась эта новая версия. Выполните следующие действия:

  1. Перейдите к своему ресурсу службы речи и откройте раздел параметров Шифрование.
  2. Введите URI новой версии ключа. Как вариант, для обновления версии можно еще раз выбрать хранилище ключей и ключ.
  3. Сохранение изменений.

Использование другого ключа

Чтобы сменить ключ, используемый для шифрования, выполните следующие действия.

  1. Перейдите к своему ресурсу службы речи и откройте раздел параметров Шифрование.
  2. Введите URI нового ключа. Как вариант, можно выбрать хранилище ключей и затем выбрать новый ключ.
  3. Сохранение изменений.

Циклическая смена управляемых клиентом ключей

Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. При циклической смене ключа необходимо обновить ресурс службы речи, чтобы он использовал URI нового ключа. Сведения о том, как обновить ресурс для использования новой версии ключа на портале Azure, см. в разделе Обновление версии ключа.

При циклической смене ключа не запускается повторное шифрование данных ресурса. Какие-либо дополнительные действия со стороны пользователя не требуются.

Отзыв доступа к управляемым клиентом ключам

Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе служб искусственного интеллекта Azure, так как ключ шифрования недоступен службами ИИ Azure.

Отключение ключей, управляемых клиентом

При отключении управляемых клиентом ключей ваш ресурс службы речи будет шифроваться с использованием ключей, управляемых корпорацией Майкрософт. Чтобы отключить управляемые клиентом ключи, выполните следующие действия.

  1. Перейдите к своему ресурсу службы речи и откройте раздел параметров Шифрование.
  2. Снимите флажок рядом с параметром Использовать собственный ключ.

Следующие шаги