Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

对静态数据的自定义命令加密

  • 项目

重要

自定义命令将于 2026 年 4 月 30 日停用。 自 2023 年 10 月 30 日起,无法在 Speech Studio 中创建新的自定义命令应用程序。 与此更改相关的是,LUIS 将于 2025 年 10 月 1 日停用。 自 2023 年 4 月 1 日起,无法创建新的 LUIS 资源。

自定义命令会在数据保存到云时自动加密数据。 自定义命令服务加密可以保护数据,有助于你履行在组织的安全性与符合性方面做出的承诺。

注意

自定义命令服务不会自动为与应用程序关联的 LUIS 资源启用加密。 如果需要,则必须从此处为 LUIS 资源启用加密。

关于 Azure AI 服务加密

数据使用符合 FIPS 140-2256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 你的数据默认情况下就是安全的,你无需修改代码或应用程序,即可利用加密。

关于加密密钥管理

使用自定义命令时,语音服务会在云中存储以下数据:

  • 自定义命令应用程序后面的配置 JSON
  • LUIS 创作和预测密钥

默认情况下,订阅使用 Microsoft 托管的加密密钥。 不过,你也可以使用自己的加密密钥来管理订阅。 客户管理的密钥 (CMK)(也称为创建自己的密钥,BYOK)在创建、轮换、禁用和撤销访问控制方面可提供更大的灵活性。 此外,你还可以审核用于保护数据的加密密钥。

重要

客户管理的密钥只适用于在 2020 年 6 月 27 日以后创建的资源。 若要将 CMK 与语音服务配合使用,需要创建新的语音资源。 在创建资源后,可以使用 Azure Key Vault 来设置托管标识。

若要请求使用客户管理的密钥的权限,请填写并提交客户管理的密钥请求表单。 大约需要 3-5 个工作日才能收到请求状态回复。 视情况而定,可能需要排队,并在空间可用时获批。 在获允将 CMK 与语音服务配合使用后,需要从 Azure 门户创建新的语音资源。

注意

只有自定义命令才支持客户管理的密钥 (CMK)

自定义语音识别和定制声音仍然只支持自带存储 (BYOS)。了解详情

如果你使用给定的语音资源来访问这些服务,则必须通过显式配置 BYOS 来满足符合性需求。

客户管理的密钥和 Azure Key Vault

必须使用 Azure Key Vault 来存储客户管理的密钥。 可以创建自己的密钥并将其存储在 Key Vault 中,或者使用 Azure Key Vault API 来生成密钥。 语音资源和密钥保管库必须在同一区域和同一 Microsoft Entra 租户中,但可以在不同的订阅中。 有关 Azure Key Vault 的详细信息,请参阅什么是 Azure Key Vault?

在创建新语音资源并使用它来预配自定义命令应用程序时,会始终使用 Microsoft 管理的密钥对数据进行加密。 当创建资源时,无法启用客户管理的密钥。 客户管理的密钥存储在 Azure Key Vault 中,必须为该密钥保管库预配访问策略,这些策略将密钥权限授予给与 Azure AI 服务资源关联的托管标识。 只有在使用 CMK 所需的定价层创建资源后,托管标识才可用。

启用客户管理的密钥还会启用系统分配的托管标识,这是 Microsoft Entra ID 的一项功能。 启用系统分配的托管标识后,此资源将会注册到 Microsoft Entra ID。 注册后,托管标识可以访问在客户管理的密钥设置过程中选择的 Key Vault。

重要

如果禁用系统分配的托管标识,则会删除对密钥保管库的访问权限,而使用客户密钥加密的任何数据都将不再可供访问。 任何依赖于此数据的功能都会失效。

重要

托管标识当前不支持跨目录方案。 在 Azure 门户中配置客户管理的密钥时,系统会在幕后自动分配一个托管标识。 如果随后将订阅、资源组或资源从一个 Microsoft Entra 目录移动到另一个目录,与资源关联的托管标识不会转移到新租户,因此客户管理的密钥可能不再有效。 有关详细信息,请参阅 Azure 资源的常见问题解答和已知问题中的“在 Microsoft Entra 目录之间转移订阅”

配置 Azure Key Vault

使用客户管理的密钥需要在密钥保管库中设置两个属性:“软删除”和“不清除”。 默认不会启用这些属性,但可以使用 PowerShell 或 Azure CLI 对新的或现有的 Key Vault 启用。

重要

如果你在没有启用“软删除”和“不清除”属性的情况下删除了你的密钥,则无法恢复 Azure AI 服务资源中的数据。

若要了解如何在现有密钥保管库上启用这些属性,请参阅以下文章之一中标题为“启用软删除”和“启用清除保护”的部分:

Azure 存储加密仅支持大小为 2048 的 RSA 密钥。 有关密钥的详细信息,请参阅关于 Azure Key Vault 密钥、机密和证书中的“Key Vault 密钥”。

为语音资源启用客户管理的密钥

若要在 Azure 门户中启用客户管理的密钥,请执行以下步骤:

  1. 导航到语音资源。
  2. 在语音资源的“设置”页上,选择“加密”。 选择“客户管理的密钥”选项,如下图所示。

Screenshot showing how to select Customer Managed Keys

指定密钥

启用客户管理的密钥后,你将可以指定要与 Azure AI 服务资源关联的密钥。

将密钥指定为 URI

若要将某个密钥指定为 URI,请执行下列步骤:

  1. 若要在 Azure 门户中查找密钥 URI,请导航到 Key Vault,然后选择“密钥”设置。 选择所需的密钥,然后选择该密钥以查看其版本。 选择一个密钥版本,查看该版本的设置。

  2. 复制“密钥标识符”字段的值(提供 URI)。

    Screenshot showing key vault key URI

  3. 在语音服务的“加密”设置中,选择“输入密钥 URI”选项 。

  4. 将复制的 URI 粘贴到“密钥 URI”字段中。

  5. 指定包含密钥保管库的订阅。

  6. 保存所做更改。

从 Key Vault 指定密钥

若要指定 Key Vault 中的密钥,请先请确保有一个包含密钥的 Key Vault。 若要指定 Key Vault 中的密钥,请执行以下步骤:

  1. 选择“从 Key Vault 中选择”选项。

  2. 选择包含要使用的密钥的密钥保管库。

  3. 从密钥保管库中选择密钥。

    Screenshot showing customer-managed key option

  4. 保存更改。

更新密钥版本

在创建密钥的新版本时,请将语音资源更新为使用该新版本。 按照以下步骤操作:

  1. 导航到语音资源并显示“加密”设置。
  2. 输入新密钥版本的 URI。 或者,可以再次选择 Key Vault 和密钥以更新版本。
  3. 保存所做更改。

使用其他密钥

若要更改用于加密的密钥,请执行以下步骤:

  1. 导航到语音资源并显示“加密”设置。
  2. 输入新密钥的 URI。 也可选择密钥保管库并选择一个新密钥。
  3. 保存所做更改。

轮换客户管理的密钥

可以根据自己的合规性策略,在 Azure 密钥保管库中轮换客户管理的密钥。 在轮换密钥时,必须将语音资源更新为使用新密钥 URI。 若要了解如何更新资源以在 Azure 门户中使用新版本的密钥,请参阅更新密钥版本

轮换密钥不会触发资源中数据的重新加密。 用户无需执行任何其他操作。

撤消对客户管理的密钥的访问权限

若要撤消对客户管理的密钥的访问权限,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 Azure Key Vault PowerShellAzure Key Vault CLI。 撤销访问权限实际上会阻止对 Azure AI 服务资源中所有数据的访问,因为 Azure AI 服务无法访问加密密钥。

禁用客户托管密钥

在禁用客户管理的密钥时,系统会使用 Microsoft 管理的密钥来加密语音资源。 若要禁用客户托管密钥,请执行以下步骤:

  1. 导航到语音资源并显示“加密”设置。
  2. 取消选中“使用自己的密钥”设置旁边的复选框。

后续步骤