Bekleyen verinin Özel Komutlarla şifrelenmesi

  • Makale

Önemli

Özel Komutlar 30 Nisan 2026'da kullanımdan kaldırılacaktır. 30 Ekim 2023 itibarıyla Speech Studio'da yeni Özel Komutlar uygulaması oluşturamazsınız. Bu değişiklikle ilgili olarak LUIS, 1 Ekim 2025'te kullanımdan kaldırılacaktır. 1 Nisan 2023 itibarıyla yeni LUIS kaynakları oluşturamazsınız.

Özel Komutlar, bulutta kalıcı hale geldiğinde verilerinizi otomatik olarak şifreler. Özel Komutlar hizmeti şifrelemesi, verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur.

Not

Özel Komutlar hizmeti, uygulamanızla ilişkilendirilmiş LUIS kaynakları için şifrelemeyi otomatik olarak etkinleştirmez. Gerekirse, luis kaynağınız için şifrelemeyi buradan etkinleştirmeniz gerekir.

Azure AI hizmetleri şifrelemesi hakkında

FiPS 140-2 uyumlu 256 bit AES şifrelemesi kullanılarak veriler şifrelenir ve şifresi çözülür. Şifreleme ve şifre çözme saydamdır, yani şifreleme ve erişim sizin için yönetilir. Verileriniz varsayılan olarak koruma altındadır ve şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmenize gerek yoktur.

Şifreleme anahtarı yönetimi hakkında

Özel Komutlar kullandığınızda konuşma hizmeti aşağıdaki verileri bulutta depolar:

  • Özel Komutlar uygulamasının arkasındaki JSON yapılandırması
  • LUIS yazma ve tahmin anahtarı

Aboneliğiniz varsayılan olarak Microsoft tarafından yönetilen şifreleme anahtarlarını kullanır. Öte yandan aboneliğinizi kendi şifreleme anahtarlarınızla da yönetebilirsiniz. Kendi Anahtarını Getir (KAG) olarak da bilinen Müşteri Tarafından Yönetilen Anahtarlar (CMK) erişim denetimlerini oluşturma, döndürme, devre dışı bırakma ve iptal etme konusunda daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.

Önemli

Müşteri tarafından yönetilen anahtarlar yalnızca 27 Haziran 2020'de oluşturulan kaynaklardır. CMK'yi Konuşma hizmetiyle kullanmak için yeni bir Konuşma kaynağı oluşturmanız gerekir. Kaynak oluşturulduktan sonra yönetilen kimliğinizi ayarlamak için Azure Key Vault'ı kullanabilirsiniz.

Müşteri tarafından yönetilen anahtarların kullanılabilmesini istemek için Müşteri Tarafından Yönetilen Anahtar İstek Formu'nu doldurun ve gönderin. İsteğinizin durumunu öğrenmek yaklaşık 3-5 iş günü sürer. İsteğe bağlı olarak, bir kuyruğa yerleştirilebilir ve alan kullanılabilir duruma geldikçe onaylanırsınız. Konuşma hizmetiyle CMK kullanımı onaylandıktan sonra Azure portalından yeni bir Konuşma kaynağı oluşturmanız gerekir.

Not

Müşteri tarafından yönetilen anahtarlar (CMK) yalnızca özel komutlar için desteklenir.

Özel konuşma ve özel ses hala yalnızca Kendi Depolama Getir'i (KCG) destekler.Daha fazla bilgi edinin

Bu hizmete erişmek için verilen konuşma kaynağını kullanıyorsanız, KCG açıkça yapılandırılarak uyumluluk gereksinimleri karşılanmalıdır.

Azure Key Vault ile müşteri tarafından yönetilen anahtarlar

Müşteri tarafından yönetilen anahtarları depolamak için Azure Key Vault kullanmanız gerekir. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'lerini kullanabilirsiniz. Konuşma kaynağı ve anahtar kasası aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz . Azure Key Vault nedir?.

Özel Komutlar uygulamaları sağlamak için yeni bir Konuşma kaynağı oluşturulduğunda ve kullanıldığında veriler her zaman Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Kaynağın oluşturulduğu sırada müşteri tarafından yönetilen anahtarları etkinleştirmek mümkün değildir. Müşteri tarafından yönetilen anahtarlar Azure Key Vault'ta depolanır ve anahtar kasasının Azure AI hizmetleri kaynağıyla ilişkili yönetilen kimliğe anahtar izinleri veren erişim ilkeleriyle sağlanması gerekir. Yönetilen kimlik, yalnızca kaynak CMK için gereken Fiyatlandırma Katmanı kullanılarak oluşturulduktan sonra kullanılabilir.

Müşteri tarafından yönetilen anahtarların etkinleştirilmesi, Sistem tarafından atanan yönetilen kimliği de etkinleştirir. Bu, Microsoft Entra ID'nin bir özelliğidir. Sistem tarafından atanan yönetilen kimlik etkinleştirildikten sonra bu kaynak Microsoft Entra Id ile kaydedilir. Kaydedildikten sonra, yönetilen kimliğe müşteri tarafından yönetilen anahtar kurulumu sırasında seçilen Key Vault'a erişim verilir.

Önemli

Sistem tarafından atanan yönetilen kimlikleri devre dışı bırakırsanız anahtar kasasına erişim kaldırılır ve müşteri anahtarlarıyla şifrelenen verilere artık erişilemez. Bu verilere bağlı tüm özellikler çalışmayı durdurur.

Önemli

Yönetilen kimlikler şu anda dizinler arası senaryoları desteklememektedir. Azure portalında müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altında otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya kaynağı bir Microsoft Entra dizininden diğerine taşırsanız, kaynakla ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. SSS'de Microsoft Entra dizinleri arasında abonelik aktarma ve Azure kaynakları için yönetilen kimliklerle ilgili bilinen sorunlar.

Azure Key Vault'u yapılandırma

Müşteri tarafından yönetilen anahtarların kullanılması için anahtar kasasında Geçici Silme ve Temizlemeyin olmak üzere iki özelliğin ayarlanması gerekir. Bu özellikler varsayılan olarak etkinleştirilmez, ancak yeni veya mevcut bir anahtar kasasında PowerShell veya Azure CLI kullanılarak etkinleştirilebilir.

Önemli

Geçici Silme ve Temizleme özelliklerini etkinleştirmediyseniz ve anahtarınızı silerseniz Azure AI hizmetleri kaynağınızdaki verileri kurtaramazsınız.

Mevcut bir anahtar kasasında bu özelliklerin nasıl etkinleştirileceği hakkında bilgi edinmek için, aşağıdaki makalelerden birinde Geçici silmeyi etkinleştirme ve Temizleme Koruması'nı etkinleştirme başlıklı bölümlere bakın:

  • PowerShell ile geçici silmeyi kullanma.
  • CLI ile geçici silmeyi kullanma.

Azure Depolama şifrelemesi ile yalnızca 2048 boyutunda RSA anahtarları desteklenir. Anahtarlar hakkında daha fazla bilgi için Bkz. Azure Key Vault anahtarları, gizli dizileri ve sertifikaları hakkında bölümünde Key Vault anahtarları.

Konuşma kaynağınız için müşteri tarafından yönetilen anahtarları etkinleştirme

Azure portalında müşteri tarafından yönetilen anahtarları etkinleştirmek için şu adımları izleyin:

  1. Konuşma kaynağınıza gidin.
  2. Konuşma kaynağınızın Ayarlar sayfasında Şifreleme'yi seçin. Aşağıdaki şekilde gösterildiği gibi Müşteri Tarafından Yönetilen Anahtarlar seçeneğini belirleyin.

Screenshot showing how to select Customer Managed Keys

Anahtar belirtme

Müşteri tarafından yönetilen anahtarları etkinleştirdikten sonra, Azure AI hizmetleri kaynağıyla ilişkilendirmek için bir anahtar belirtme fırsatınız olur.

Anahtarı URI olarak belirtme

Anahtarı URI olarak belirtmek için şu adımları izleyin:

  1. Azure portalında anahtar URI'sini bulmak için anahtar kasanıza gidin ve Anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Bu sürümün ayarlarını görüntülemek için bir anahtar sürümü seçin.

  2. URI'yi sağlayan Anahtar Tanımlayıcısı alanının değerini kopyalayın.

    Screenshot showing key vault key URI

  3. Konuşma hizmetinizin Şifreleme ayarlarında Anahtar URI'sini girin seçeneğini belirleyin.

  4. Kopyaladığınız URI'yi Anahtar URI alanına yapıştırın.

  5. Anahtar kasasını içeren aboneliği belirtin.

  6. Değişikliklerinizi kaydedin.

Anahtar kasasından anahtar belirtme

Anahtar kasasından anahtar belirtmek için önce anahtar içeren bir anahtar kasanız olduğundan emin olun. Anahtar kasasından anahtar belirtmek için şu adımları izleyin:

  1. Key Vault'tan Seç seçeneğini belirleyin.

  2. Kullanmak istediğiniz anahtarı içeren anahtar kasasını seçin.

  3. Anahtar kasasından anahtarı seçin.

    Screenshot showing customer-managed key option

  4. Değişikliklerinizi kaydedin.

Anahtar sürümünü güncelleştirme

Anahtarın yeni bir sürümünü oluşturduğunuzda Konuşma kaynağını yeni sürümü kullanacak şekilde güncelleştirin. Şu adımları izleyin:

  1. Konuşma kaynağınıza gidin ve Şifreleme ayarlarını görüntüleyin.
  2. Yeni anahtar sürümü için URI'yi girin. Alternatif olarak, sürümü güncelleştirmek için anahtar kasasını ve anahtarı yeniden seçebilirsiniz.
  3. Değişikliklerinizi kaydedin.

Farklı bir anahtar kullanma

Şifreleme için kullanılan anahtarı değiştirmek için şu adımları izleyin:

  1. Konuşma kaynağınıza gidin ve Şifreleme ayarlarını görüntüleyin.
  2. Yeni anahtarın URI'sini girin. Alternatif olarak, anahtar kasasını ve yeni bir anahtar seçebilirsiniz.
  3. Değişikliklerinizi kaydedin.

Müşteri tarafından yönetilen anahtarları döndürme

Azure Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtar döndürüldüğünde, konuşma kaynağını yeni anahtar URI'sini kullanacak şekilde güncelleştirmeniz gerekir. Azure portalında anahtarın yeni bir sürümünü kullanmak üzere kaynağı nasıl güncelleştireceğinizi öğrenmek için bkz . Anahtar sürümünü güncelleştirme.

Anahtarı döndürmek, kaynaktaki verilerin yeniden şifrelenmesini tetiklemez. Kullanıcıdan başka işlem yapılması gerekmez.

Müşteri tarafından yönetilen anahtarlara erişimi iptal etme

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLI kullanın. Daha fazla bilgi için bkz . Azure Key Vault PowerShell veya Azure Key Vault CLI. Şifreleme anahtarına Azure AI hizmetleri tarafından erişilemediği için erişimi iptal etmek Azure AI hizmetleri kaynağındaki tüm verilere erişimi etkili bir şekilde engeller.

Müşteri tarafından yönetilen anahtarları devre dışı bırakma

Müşteri tarafından yönetilen anahtarları devre dışı bırakırsanız Konuşma kaynağınız Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtarları devre dışı bırakmak için şu adımları izleyin:

  1. Konuşma kaynağınıza gidin ve Şifreleme ayarlarını görüntüleyin.
  2. Kendi anahtarınızı kullan ayarının yanındaki onay kutusunun seçimini kaldırın.

Sonraki adımlar