Translator-kryptering av vilande data
Translator krypterar automatiskt dina uppladdade data när de sparas i molnet och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsmål.
Om Azure AI-tjänstkryptering
Data krypteras och dekrypteras med FIPS 140-2-kompatibel 256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data skyddas som standard och du behöver inte ändra din kod eller dina program för att utnyttja krypteringen.
Om hantering av krypteringsnycklar
Som standard använder din prenumeration krypteringsnycklar som hanteras av Microsoft. Om du använder en prisnivå som stöder kundhanterade nycklar kan du se krypteringsinställningarna för din resurs i avsnittet Kryptering i Azure-portalen, som du ser i följande bild.
För prenumerationer som endast stöder Microsoft-hanterade krypteringsnycklar har du inget krypteringsavsnitt .
Kundhanterade nycklar med Azure Key Vault
Som standard använder din prenumeration krypteringsnycklar som hanteras av Microsoft. Det finns också möjlighet att hantera din prenumeration med dina egna nycklar som kallas kundhanterade nycklar (CMK). Med CMK får du större flexibilitet för att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data. Om CMK har konfigurerats för din prenumeration tillhandahålls dubbel kryptering, vilket ger ett andra skyddslager, samtidigt som du kan styra krypteringsnyckeln via ditt Azure Key Vault.
Följ de här stegen för att aktivera kundhanterade nycklar för Translator:
- Skapa din nya regionala Translator- eller regional Azure AI-tjänstresurs. Kundhanterade nycklar fungerar inte med en global resurs.
- Aktiverad hanterad identitet i Azure-portalen och lägg till din kundhanterade nyckelinformation.
- Skapa en ny arbetsyta i Custom Translator och associera den här prenumerationsinformationen.
Aktivera kundhanterade nycklar
Du måste använda Azure Key Vault till att lagra dina kundhanterade nycklar. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda Azure Key Vault-API:erna för att generera nycklar. Azure AI-tjänstresursen och nyckelvalvet måste finnas i samma region och i samma Microsoft Entra-klientorganisation, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?.
En ny Azure AI-tjänstresurs krypteras alltid med hjälp av Microsoft-hanterade nycklar. Det går inte att aktivera kundhanterade nycklar när resursen skapas. Kundhanterade nycklar lagras i Azure Key Vault. Nyckelvalvet måste etableras med åtkomstprinciper som ger nyckelbehörighet till den hanterade identitet som är associerad med Azure AI-tjänstresursen. Den hanterade identiteten är tillgänglig så snart resursen har skapats.
Information om hur du använder kundhanterade nycklar med Azure Key Vault för Azure AI-tjänstkryptering finns i:
Om du aktiverar kundhanterade nycklar aktiveras även en systemtilldelad hanterad identitet, en funktion i Microsoft Entra-ID. När den systemtilldelade hanterade identiteten har aktiverats registreras den här resursen med Microsoft Entra-ID. När den hanterade identiteten har registrerats får den åtkomst till nyckelvalvet som valts under konfigurationen av kundhanterad nyckel. Du kan lära dig mer om hanterade identiteter.
Viktigt!
Om du inaktiverar systemtilldelade hanterade identiteter tas åtkomsten till nyckelvalvet bort och alla data som krypteras med kundnycklarna kommer inte längre att vara tillgängliga. Alla funktioner som är beroende av dessa data slutar fungera. Alla modeller som du har distribuerat tas också bort. Alla uppladdade data tas bort från Custom Translator. Om de hanterade identiteterna aktiveras på nytt distribuerar vi inte om modellen automatiskt åt dig.
Viktigt!
Hanterade identiteter stöder för närvarande inte scenarier mellan kataloger. När du konfigurerar kundhanterade nycklar i Azure-portalen tilldelas en hanterad identitet automatiskt under täcket. Om du senare flyttar prenumerationen, resursgruppen eller resursen från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med resursen till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger i vanliga frågor och svar och kända problem med hanterade identiteter för Azure-resurser.
Lagra kundhanterade nycklar i Azure Key Vault
Om du vill aktivera kundhanterade nycklar måste du använda ett Azure Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk borttagning och Rensa inte i nyckelvalvet.
Endast RSA-nycklar av storlek 2048 stöds med Azure AI-tjänstkryptering. Mer information om nycklar finns i Key Vault-nycklar i Om Azure Key Vault-nycklar, hemligheter och certifikat.
Kommentar
Om hela nyckelvalvet tas bort visas inte längre dina data och alla dina modeller distribueras inte. Alla uppladdade data tas bort från Custom Translator.
Återkalla åtkomst till kundhanterade nycklar
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data i Azure AI-tjänstresursen och dina modeller distribueras inte eftersom krypteringsnyckeln inte är tillgänglig för Azure AI-tjänster. Alla uppladdade data tas också bort från Custom Translator.