共用方式為


Language Understanding 服務待用資料加密

重要

LUIS 將於 2025 年 10 月 1 日淘汰,而自 2023 年 4 月 1 日開始,您將無法建立新的 LUIS 資源。 建議移轉 LUIS 應用程式交談語言理解,以享有產品持續支援和多語言功能的優點。

當將資料保存到雲端時,Language Understanding 服務會自動加密資料。 Language Understanding 服務加密可保護資料安全,並協助您達到組織的安全性和合規性承諾。

關於 Azure AI 服務加密

資料的加密和解密會使用符合 FIPS 140-2 規範的 256 位元 AES 加密。 加密和解密是透明的,這表示系統會為您管理加密和存取。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。

關於加密金鑰管理

根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 此外,您也可以使用您自己名為客戶自控金鑰 (CMK) 的金鑰,來管理您的訂用帳戶。 CMK 讓您可以更靈活地建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。

客戶管理的金鑰與 Azure Key Vault

此外,您也可以使用自己的金鑰管理訂閱。 客戶自控金鑰 (CMK) 也稱為「攜帶您自己的金鑰 (BYOK)」,可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。

您必須使用 Azure Key Vault 來儲存客戶自控金鑰。 您可以建立自己的金鑰並將其儲存在金鑰保存庫中,或是使用 Azure Key Vault API 來產生金鑰。 Azure AI 服務資源和金鑰保存庫庫必須位於相同的區域和相同的 Microsoft Entra 租用戶中,但它們可以位於不同的訂用帳戶中。 如需 Azure Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault

LUIS 訂用帳戶圖片

限制

以現有/之前建立的應用程式使用 E0 層會有一些限制:

  • 禁止移轉至 E0 資源。 使用者只能將應用程式移轉至 F0 資源。 將現有資源移轉到 F0 後,您可以在 E0 層中建立新的資源。
  • 禁止將應用程式移入或移出 E0 資源。 針對這項限制的解決方式是匯出現有的應用程式,並將其匯入為 E0 資源。
  • 不支援 Bing 拼字檢查功能。
  • 如果應用程式是 E0,則會停用記錄終端使用者流量。
  • E0 層中的應用程式不支援 Azure AI Bot Service 的語音預備功能。 這項功能可透過 Azure AI Bot Service 取得,但不支援 CMK。
  • 入口網站中的語音預備功能需有 Azure Blob 儲存體。 如需詳細資訊,請參閱攜帶您自己的儲存體

啟用客戶管理的金鑰

一律使用 Microsoft 受控的金鑰,加密新的 Azure AI 服務資源。 建立資源時,無法啟用客戶自控金鑰。 客戶自控金鑰會儲存在 Azure Key Vault 中,且必須使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源建立關聯的受控識別。 您必須先使用 CMK 的定價層建立資源,才可以使用受控識別。

若要了解如何在 Azure Key Vault 使用客戶自控金鑰進行 Azure AI 服務加密,請參閱:

啟用客戶自控金鑰也會啟用系統指派的受控識別,這是 Microsoft Entra ID 的功能。 一旦啟用系統指派的受控識別後,就會向 Microsoft Entra ID 註冊此資源。 註冊之後,即會將在客戶自控金鑰設定期間選取的 Key Vault 存取權提供給受控識別。 您可以深入了解受控識別

重要

如果您停用系統指派的受控識別,即會移除金鑰保存庫的存取權,且無法再存取使用客戶金鑰加密的任何資料。 需要使用此資料的所有功能都將停止運作。

重要

受控識別目前不支援跨目錄案例。 當在 Azure 入口網站中設定客戶自控金鑰時,系統會在幕後自動指派受控識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別不會傳輸到新的租用戶,因此客戶受控金鑰可能無法再運作。 如需詳細資訊,請參閱 Azure 資源受控識別常見問題集與已知問題中的在 Microsoft Entra 目錄之間移轉訂閱

將客戶自控金鑰儲存在 Azure Key Vault

若要啟用客戶自控金鑰,您必須使用 Azure Key Vault 儲存自己的金鑰。 您必須在金鑰保存庫上同時啟用虛刪除不要清除屬性。

Azure AI 服務加密只支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊,請參閱關於 Azure Key Vault 金鑰、祕密和憑證中的 Key Vault 金鑰

輪替客戶自控金鑰

您可以根據您的合規性原則,在 Azure Key Vault 中輪替客戶管理的金鑰。 輪替金鑰時,您必須更新 Azure AI 服務資源,以使用新的金鑰 URI。 若要了解如何更新資源以在 Azure 入口網站中使用新版金鑰,請參閱使用 Azure 入口網站設定 Azure AI 服務的客戶自控金鑰中的更新金鑰版本一節。

輪替金鑰不會觸發重新加密資源中的資料。 使用者不需要採取任何進一步的動作。

撤銷客戶自控金鑰的存取權

若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShellAzure Key Vault CLI。 撤銷存取權可有效封鎖 Azure AI 服務資源中所有資料的存取,因為 Azure AI 服務無法存取加密金鑰。

下一步