你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
语音服务静态数据的加密
语音服务在将数据保存到云时会自动加密数据。 语音识别服务加密可以保护数据,并帮助组织履行在安全性与合规性方面做出的承诺。
关于 Azure AI 服务加密
数据使用符合 FIPS 140-2 的 256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 你的数据默认情况下就是安全的,你无需修改代码或应用程序,即可利用加密。
关于加密密钥管理
使用自定义语音和自定义声音时,语音服务可能会在云中存储以下数据:
- 语音识别跟踪数据 - 仅当你为自定义终结点启用了跟踪时才存储
- 已上传的训练和测试数据
默认情况下,你的数据存储在 Microsoft 的存储中,你的订阅使用 Microsoft 托管的加密密钥。 你还可以选择准备你自己的存储帐户。 对应用商店的访问是由托管标识管理的,语音识别服务无法直接访问你自己的数据,例如语音跟踪数据、自定义训练数据和自定义模型。
有关托管标识的详细信息,请参阅什么是托管标识。
同时,使用自定义命令时,可以使用自己的加密密钥来管理订阅。 客户管理的密钥 (CMK)(也称为创建自己的密钥,BYOK)在创建、轮换、禁用和撤销访问控制方面可提供更大的灵活性。 此外,你还可以审核用于保护数据的加密密钥。 有关自定义命令和 CMK 的详细信息,请参阅静态数据的自定义命令加密。
自带存储空间 (BYOS)
自带存储 (BYOS) 是一种 Azure AI 技术,适用于对数据安全和隐私有较高要求的客户。 该技术的核心是能够将用户拥有并完全控制的 Azure 存储帐户与语音资源相关联。 然后,语音资源使用此存储帐户来存储与用户数据处理相关的不同项目,而不是像在常规情况下那样在语音服务本地存储相同的项目。 此方法允许使用 Azure 存储帐户的所有安全功能集,包括使用客户管理的密钥加密数据、使用专用终结点访问数据等。
语音服务目前不支持客户密码箱。 但是,可以使用 BYOS 来存储客户数据,这样能够实现与客户密码箱类似的数据控制。
重要
Microsoft 不会使用客户数据来改进其语音模型。 此外,如果禁用了终结点日志记录,并且未使用任何自定义,则不会存储任何客户数据。
若要详细了解如何使用已启用 BYOS 的语音资源,请查看此文章。