Språktjänstkryptering av vilande data
Språktjänsten krypterar automatiskt dina data när de sparas i molnet. Kryptering av språktjänsten skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden.
Om Azure AI-tjänstkryptering
Data krypteras och dekrypteras med FIPS 140-2-kompatibel 256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data skyddas som standard och du behöver inte ändra din kod eller dina program för att utnyttja krypteringen.
Om hantering av krypteringsnycklar
Som standard använder din prenumeration krypteringsnycklar som hanteras av Microsoft. Du kan även välja att hantera prenumerationen med egna nycklar, vilket kallas kundhanterade nycklar (CMK, Customer-Managed Keys). Med CMK får du större flexibilitet för att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Kundhanterade nycklar med Azure Key Vault
Det finns också ett alternativ för att hantera din prenumeration med dina egna nycklar. Kundhanterade nycklar (CMK), även kallade BYOK (Bring Your Own Key), ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Du måste använda Azure Key Vault till att lagra dina kundhanterade nycklar. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda Azure Key Vault-API:erna för att generera nycklar. Azure AI-tjänstresursen och nyckelvalvet måste finnas i samma region och i samma Microsoft Entra-klientorganisation, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?.
Aktivera kundhanterade nycklar
En ny Azure AI-tjänstresurs krypteras alltid med hjälp av Microsoft-hanterade nycklar. Det går inte att aktivera kundhanterade nycklar när resursen skapas. Kundhanterade nycklar lagras i Azure Key Vault och nyckelvalvet måste etableras med åtkomstprinciper som beviljar nyckelbehörigheter till den hanterade identitet som är associerad med Azure AI-tjänstresursen. Den hanterade identiteten är endast tillgänglig när resursen har skapats med hjälp av prisnivån för CMK.
Information om hur du använder kundhanterade nycklar med Azure Key Vault för Azure AI-tjänstkryptering finns i:
Om du aktiverar kundhanterade nycklar aktiveras även en systemtilldelad hanterad identitet, en funktion i Microsoft Entra-ID. När den systemtilldelade hanterade identiteten har aktiverats registreras den här resursen med Microsoft Entra-ID. När den hanterade identiteten har registrerats får den åtkomst till nyckelvalvet som valts under konfigurationen av kundhanterad nyckel. Du kan lära dig mer om hanterade identiteter.
Viktigt!
Om du inaktiverar systemtilldelade hanterade identiteter tas åtkomsten till nyckelvalvet bort och alla data som krypteras med kundnycklarna kommer inte längre att vara tillgängliga. Alla funktioner som är beroende av dessa data slutar fungera.
Viktigt!
Hanterade identiteter stöder för närvarande inte scenarier mellan kataloger. När du konfigurerar kundhanterade nycklar i Azure-portalen tilldelas en hanterad identitet automatiskt under täcket. Om du senare flyttar prenumerationen, resursgruppen eller resursen från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med resursen till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger i vanliga frågor och svar och kända problem med hanterade identiteter för Azure-resurser.
Lagra kundhanterade nycklar i Azure Key Vault
Om du vill aktivera kundhanterade nycklar måste du använda ett Azure Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk borttagning och Rensa inte i nyckelvalvet.
Endast RSA-nycklar av storlek 2048 stöds med Azure AI-tjänstkryptering. Mer information om nycklar finns i Key Vault-nycklar i Om Azure Key Vault-nycklar, hemligheter och certifikat.
Rotera kundhanterade nycklar
Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. När nyckeln roteras måste du uppdatera Azure AI-tjänstresursen för att använda den nya nyckel-URI:n. Information om hur du uppdaterar resursen för att använda en ny version av nyckeln i Azure-portalen finns i avsnittet Uppdatera nyckelversionen i Konfigurera kundhanterade nycklar för Azure AI-tjänster med hjälp av Azure-portalen.
Om du roterar nyckeln utlöses inte omkryptering av data i resursen. Det krävs ingen ytterligare åtgärd från användaren.
Återkalla åtkomst till kundhanterade nycklar
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om åtkomst återkallas blockeras åtkomsten till alla data i Azure AI-tjänstresursen eftersom krypteringsnyckeln inte är tillgänglig för Azure AI-tjänster.