你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
翻译器的静态数据加密
将上传的数据持久保存到云中时,翻译器会自动对其加密,这有助于实现组织的安全性和合规性目标。
关于 Azure AI 服务加密
数据使用符合 FIPS 140-2 的 256 位 AES 加密方法进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 你的数据默认情况下就是安全的,你无需修改代码或应用程序,即可利用加密。
关于加密密钥管理
默认情况下,订阅使用 Microsoft 托管的加密密钥。 如果使用支持客户管理的密钥的定价层,则可在 Azure 门户的“加密”部分看到资源的加密设置,如下图所示。
对于只支持 Microsoft 管理的加密密钥的订阅,你不会有“加密”部分。
客户管理的密钥和 Azure Key Vault
默认情况下,订阅使用 Microsoft 托管的加密密钥。 还有一个选项可用于通过你自己的密钥(称为“客户管理的密钥”(CMK))来管理订阅。 使用 CMK,可更加灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。 如果为订阅配置 CMK,则会获得双重加密,提供第二层保护,同时还可以通过 Azure Key Vault 来控制加密密钥。
请按照以下步骤为翻译器启用客户管理的密钥:
- 创建新的区域翻译器或区域 Azure AI 服务资源。 客户管理的密钥不适用于全局资源。
- 在 Azure 门户中启用托管标识,并添加客户管理的密钥的信息。
- 在自定义翻译器中创建新工作区,并关联此订阅信息。
启用客户管理的密钥
必须使用 Azure Key Vault 来存储客户管理的密钥。 可以创建自己的密钥并将其存储在 Key Vault 中,或者使用 Azure Key Vault API 来生成密钥。 Azure AI 服务资源和密钥保管库必须在同一区域和同一 Microsoft Entra 租户中,但可以在不同的订阅中。 有关 Azure Key Vault 的详细信息,请参阅什么是 Azure Key Vault?。
新的 Azure AI 服务资源始终会使用 Microsoft 管理的密钥进行加密。 当创建资源时,无法启用客户管理的密钥。 客户管理的密钥存储在 Azure Key Vault 中。 必须使用访问策略对密钥保管库进行预配,这些策略将密钥权限授予与 Azure AI 服务资源关联的托管标识。 在创建该资源后,托管标识会立即可用。
若要了解如何通过 Azure Key Vault 使用客户管理的密钥来进行 Azure AI 服务加密,请参阅:
启用客户管理的密钥还会启用系统分配的托管标识,这是 Microsoft Entra ID 的一项功能。 启用系统分配的托管标识后,此资源将注册到 Microsoft Entra ID。 注册后,将向托管标识授予在设置客户管理的密钥期间选择的 Key Vault 的访问权限。 你可以详细了解托管标识。
重要
如果禁用系统分配的托管标识,则会删除对密钥保管库的访问权限,而使用客户密钥加密的任何数据都将不再可供访问。 任何依赖于此数据的功能都会失效。 还将取消部署任何已经部署的模型。 所有上传的数据都将从自定义翻译器中删除。 如果重新启用托管标识,我们不会自动为你重新部署模型。
重要
托管标识当前不支持跨目录方案。 在 Azure 门户中配置客户管理的密钥时,系统会在幕后自动分配一个托管标识。 如果随后将订阅、资源组或资源从一个 Microsoft Entra 目录移动到另一个目录,与资源关联的托管标识不会转移到新租户,因此客户管理的密钥可能不再有效。 有关详细信息,请参阅 Azure 资源的常见问题解答和已知问题中的“在 Microsoft Entra 目录之间转移订阅”。
将客户管理的密钥存储在 Azure 密钥保管库
若要启用客户管理的密钥,必须使用 Azure Key Vault 来存储密钥。 必须同时启用密钥保管库上的“软删除”和“不清除”属性 。
Azure AI 服务加密只支持大小为 2048 的 RSA 密钥。 有关密钥的详细信息,请参阅关于 Azure Key Vault 密钥、机密和证书中的“Key Vault 密钥”。
注意
如果删除整个密钥保管库,则不会再显示你的数据,并会取消部署你的所有模型。 所有上传的数据都将从自定义翻译器中删除。
撤消对客户管理的密钥的访问权限
若要撤消对客户管理的密钥的访问权限,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤销访问权限实际上会阻止访问 Azure AI 服务资源中的所有数据,并且会取消部署你的模型,因为 Azure AI 服务无法访问加密密钥。 所有上传的数据也都会从自定义翻译器中删除。