Aracılığıyla paylaş


Bekleyen verilerin Belge Zekası şifrelemesi

Bu içerik şunlar için geçerlidir: Checkmark v4.0 (önizleme) Checkmark v3.1 (GA) Checkmark v3.0 (GA) Checkmark v2.1 (GA)

Önemli

  • Müşteri tarafından yönetilen anahtarların önceki sürümleri yalnızca modellerinizi şifreledi. *Yayından 07/31/2023 itibaren tüm yeni kaynaklar hem modelleri hem de belge sonuçlarını şifrelemek için müşteri tarafından yönetilen anahtarları kullanır. Mevcut bir hizmeti hem modelleri hem de verileri şifrelemek üzere yükseltmek için, müşteri tarafından yönetilen anahtarı devre dışı bırakmanız ve yeniden etkinleştirmeniz yeterlidir.

Azure AI Belge Zekası, verilerinizi bulutta kalıcı hale getirdiğinizde otomatik olarak şifreler. Belge Yönetim Bilgileri şifrelemesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olmak için verilerinizi korur.

Azure AI hizmetleri şifrelemesi hakkında

FiPS 140-2 uyumlu 256 bit AES şifrelemesi kullanılarak veriler şifrelenir ve şifresi çözülür. Şifreleme ve şifre çözme saydamdır, yani şifreleme ve erişim sizin için yönetilir. Verileriniz varsayılan olarak güvenlidir. Şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez.

Şifreleme anahtarı yönetimi hakkında

Aboneliğiniz varsayılan olarak Microsoft tarafından yönetilen şifreleme anahtarlarını kullanır. Aboneliğinizi müşteri tarafından yönetilen anahtarlar olarak adlandırılan kendi anahtarlarınızla da yönetebilirsiniz. Müşteri tarafından yönetilen anahtarları kullandığınızda, erişim denetimlerini oluşturma, döndürme, devre dışı bırakma ve iptal etme konusunda daha fazla esnekliğe sahip olursunuz. Verilerinizi korumak için kullandığınız şifreleme anahtarlarını da denetleyebilirsiniz. Aboneliğiniz için müşteri tarafından yönetilen anahtarlar yapılandırıldıysa, çift şifreleme sağlanır. Bu ikinci koruma katmanıyla şifreleme anahtarını Azure Key Vault'unuz aracılığıyla denetleyebilirsiniz.

Önemli

Müşteri tarafından yönetilen anahtarlar yalnızca 11 Mayıs 2020'de oluşturulan kaynaklardır. CMK'yi Belge Yönetim Bilgileri ile kullanmak için yeni bir Belge Yönetim Bilgileri kaynağı oluşturmanız gerekir. Kaynak oluşturulduktan sonra yönetilen kimliğinizi ayarlamak için Azure Key Vault'ı kullanabilirsiniz.

Azure Key Vault ile müşteri tarafından yönetilen anahtarlar

Müşteri tarafından yönetilen anahtarları kullandığınızda, bunları depolamak için Azure Key Vault kullanmanız gerekir. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Key Vault API'lerini kullanabilirsiniz. Azure AI hizmetleri kaynağı ve anahtar kasası aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır, ancak farklı aboneliklerde olabilir. Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?.

Yeni bir Azure AI hizmetleri kaynağı oluşturduğunuzda, bu kaynak her zaman Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Kaynağı oluştururken müşteri tarafından yönetilen anahtarları etkinleştirmek mümkün değildir. Müşteri tarafından yönetilen anahtarlar Key Vault'ta depolanır. Anahtar kasasının, Azure AI hizmetleri kaynağıyla ilişkili yönetilen kimliğe anahtar izinleri veren erişim ilkeleriyle sağlanması gerekir. Yönetilen kimlik, yalnızca kaynak oluşturulduktan sonra müşteri tarafından yönetilen anahtarlar için gereken fiyatlandırma katmanı kullanılarak kullanılabilir.

Müşteri tarafından yönetilen anahtarların etkinleştirilmesi, Sistem tarafından atanan yönetilen kimliği de etkinleştirir. Bu, Microsoft Entra Id'nin bir özelliğidir. Sistem tarafından atanan yönetilen kimlik etkinleştirildikten sonra bu kaynak Microsoft Entra Id ile kaydedilir. Kaydedildikten sonra, yönetilen kimliğe müşteri tarafından yönetilen anahtar kurulumu sırasında seçilen anahtar kasasına erişim verilir.

Önemli

Sistem tarafından atanan yönetilen kimlikleri devre dışı bırakırsanız anahtar kasasına erişim kaldırılır ve müşteri anahtarlarıyla şifrelenen verilere artık erişilemez. Bu verilere bağlı tüm özellikler çalışmayı durdurur.

Önemli

Yönetilen kimlikler şu anda dizinler arası senaryoları desteklemez. Azure portalında müşteri tarafından yönetilen anahtarları yapılandırdığınızda, arka planda otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya kaynağı bir Microsoft Entra dizininden diğerine taşırsanız, kaynakla ilişkili yönetilen kimlik yeni kiracıya aktarılamaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. SSS'de Microsoft Entra dizinleri arasında abonelik aktarma ve Azure kaynakları için yönetilen kimliklerle ilgili bilinen sorunlar.

Key Vault'ı yapılandırma

Müşteri tarafından yönetilen anahtarları kullandığınızda, anahtar kasasında Geçici Silme ve Temizlemeyin olmak üzere iki özellik ayarlamanız gerekir. Bu özellikler varsayılan olarak etkinleştirilmez, ancak Azure portalını, PowerShell'i veya Azure CLI'yı kullanarak bunları yeni veya mevcut bir anahtar kasasında etkinleştirebilirsiniz.

Önemli

Geçici Silme ve Temizleme özellikleri etkinleştirilmediyse ve anahtarınızı silerseniz Azure AI hizmetleri kaynağınızdaki verileri kurtaramazsınız.

Mevcut bir anahtar kasasında bu özellikleri etkinleştirmeyi öğrenmek için bkz . Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi.

Kaynağınız için müşteri tarafından yönetilen anahtarları etkinleştirme

Azure portalında müşteri tarafından yönetilen anahtarları etkinleştirmek için şu adımları izleyin:

  1. Azure AI hizmetleri kaynağınıza gidin.

  2. Sol tarafta Şifreleme'yi seçin.

  3. Şifreleme türü altında, aşağıdaki ekran görüntüsünde gösterildiği gibi Müşteri Tarafından Yönetilen Anahtarlar'ı seçin.

    Azure AI hizmetleri kaynağının Şifreleme ayarları sayfasının ekran görüntüsü. Şifreleme türü altında, Müşteri Tarafından Yönetilen Anahtarlar seçeneği belirlenir.

Anahtar belirtme

Müşteri tarafından yönetilen anahtarları etkinleştirdikten sonra, Azure AI hizmetleri kaynağıyla ilişkilendirilecek bir anahtar belirtebilirsiniz.

Anahtarı URI olarak belirtme

Anahtarı URI olarak belirtmek için şu adımları izleyin:

  1. Azure portalında anahtar kasanıza gidin.

  2. Ayarlar'ın altında Anahtarlar'ı seçin.

  3. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Bu sürümün ayarlarını görüntülemek için bir anahtar sürümü seçin.

  4. URI'yi sağlayan Anahtar Tanımlayıcısı değerini kopyalayın.

    Anahtar sürümü için Azure portalı sayfasının ekran görüntüsü. Anahtar Tanımlayıcı kutusu, anahtar URI'sine yönelik bir yer tutucu içerir.

  5. Azure AI hizmetleri kaynağınıza dönün ve şifreleme'yi seçin.

  6. Şifreleme anahtarı'nın altında Anahtar URI'sini girin'i seçin.

  7. Kopyaladığınız URI'yi Anahtar URI kutusuna yapıştırın.

    Azure AI hizmetleri kaynağının Şifreleme sayfasının ekran görüntüsü. Anahtar URI'sini girin seçeneği seçilidir ve Anahtar URI'si kutusu bir değer içerir.

  8. Abonelik'in altında anahtar kasasını içeren aboneliği seçin.

  9. Değişikliklerinizi kaydedin.

Anahtar kasasından anahtar belirtme

Anahtar kasasından anahtar belirtmek için önce anahtar içeren bir anahtar kasanız olduğundan emin olun. Ardından aşağıdaki adımları izleyin:

  1. Azure AI hizmetleri kaynağınıza gidin ve Şifreleme'yi seçin.

  2. Şifreleme anahtarı'nın altında Key Vault'tan seç'i seçin.

  3. Kullanmak istediğiniz anahtarı içeren anahtar kasasını seçin.

  4. Kullanmak istediğiniz anahtarı seçin.

    Azure portalındaki Azure Key Vault'tan anahtar seçin sayfasının ekran görüntüsü. Abonelik, Anahtar kasası, Anahtar ve Sürüm kutuları değerler içerir.

  5. Değişikliklerinizi kaydedin.

Anahtar sürümünü güncelleştirme

Anahtarın yeni bir sürümünü oluşturduğunuzda, Azure AI hizmetleri kaynağını yeni sürümü kullanacak şekilde güncelleştirin. Şu adımları izleyin:

  1. Azure AI hizmetleri kaynağınıza gidin ve Şifreleme'yi seçin.
  2. Yeni anahtar sürümü için URI'yi girin. Alternatif olarak, anahtar kasasını ve ardından sürümü güncelleştirmek için anahtarı yeniden seçebilirsiniz.
  3. Değişikliklerinizi kaydedin.

Farklı bir anahtar kullanma

Şifreleme için kullandığınız anahtarı değiştirmek için şu adımları izleyin:

  1. Azure AI hizmetleri kaynağınıza gidin ve Şifreleme'yi seçin.
  2. Yeni anahtarın URI'sini girin. Alternatif olarak, anahtar kasasını ve ardından yeni bir anahtar seçebilirsiniz.
  3. Değişikliklerinizi kaydedin.

Müşteri tarafından yönetilen anahtarları döndürme

Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtar döndürüldüğünde Azure AI hizmetleri kaynağını yeni anahtar URI'sini kullanacak şekilde güncelleştirmeniz gerekir. Azure portalında anahtarın yeni bir sürümünü kullanmak üzere kaynağı nasıl güncelleştireceğinizi öğrenmek için bkz . Anahtar sürümünü güncelleştirme.

Anahtarı döndürmek, kaynaktaki verilerin yeniden şifrelenmesini tetiklemez. Kullanıcıdan başka eylem gerekmez.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etme

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın. Daha fazla bilgi için bkz . Azure Key Vault PowerShell veya Azure Key Vault CLI. Şifreleme anahtarına Azure AI hizmetleri tarafından erişilemediğinden erişimi iptal etmek Azure AI hizmetleri kaynağındaki tüm verilere erişimi etkili bir şekilde engeller.

Müşteri tarafından yönetilen anahtarları devre dışı bırakma

Müşteri tarafından yönetilen anahtarları devre dışı bırakırsanız Azure AI hizmetleri kaynağınız Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtarları devre dışı bırakmak için şu adımları izleyin:

  1. Azure AI hizmetleri kaynağınıza gidin ve Şifreleme'yi seçin.
  2. Kendi anahtarınızı kullanın'ın yanındaki onay kutusunu temizleyin.

Sonraki adımlar