待用資料的文件智慧加密
此內容適用於:
v4.0 (預覽版) v3.1 (GA) v3.0 (GA) v2.1 (GA)
重要
- 舊版的客戶自控金鑰只會加密您的模型。
*從
07/31/2023版開始,所有新的資源都會使用客戶自控金鑰來加密模型和文件結果。 若要升級現有的服務來加密模型和資料,只需停用並重新啟用客戶自控金鑰即可。
Azure AI 文件智慧服務會在將您的資料保存到雲端時自動加密資料。 文件智慧加密可保護您的資料安全,並協助您符合組織安全性和合規性承諾。
關於 Azure AI 服務加密
資料的加密和解密會使用符合 FIPS 140-2 規範的 256 位元 AES 加密。 加密和解密是透明的,這表示系統會為您管理加密和存取。 根據預設,您的資料會受到保護。 因此您無須修改程式碼或應用程式來利用加密功能。
關於加密金鑰管理
根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 您也可以使用自己的金鑰來管理訂閱,也稱為客戶自控金鑰。 使用客戶自控金鑰時,可以在建立、輪替、停用和撤銷存取控制權方面擁有更大的彈性。 您也可稽核用來保護資料的加密金鑰。 如果您為訂閱設定客戶自控金鑰,則提供雙重加密。 有了第二層保護,您可透過 Azure Key Vault 來控制加密金鑰。
重要
客戶管理的金鑰僅提供 2020 年 5 月 11 日之後建立的可用資源。 若要搭配文件智慧使用 CMK,您必須建立新的文件智慧資源。 建立資源之後,您即可使用 Azure Key Vault 來設定受控識別。
客戶管理的金鑰與 Azure Key Vault
使用客戶自控金鑰時,您必須使用 Azure Key Vault 來儲存這些金鑰。 您可以建立自己的金鑰並將其儲存在金鑰保存庫中,或是使用 Key Vault API 來產生金鑰。 Azure AI 服務資源和金鑰保存庫庫必須位於相同的區域和相同的 Microsoft Entra 租用戶中,但它們可以位於不同的訂用帳戶中。 如需 Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault?。
當您在建立新的 Azure AI 服務資源時,請一律使用 Microsoft 管理的金鑰加密。 在建立資源時,您無法啟用客戶自控金鑰。 客戶自控金鑰會儲存在 Key Vault 中。 需要使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源建立關聯的受控身分識別。 您必須先使用客戶自控金鑰所需的定價層建立資源,才可以使用受控識別。
啟用客戶自控金鑰也會啟用系統指派的受控識別,這是 Microsoft Entra ID 的功能。 在啟用系統指派的受控識別之後,此資源會透過 Microsoft Entra ID 進行註冊。 註冊後,受控身分識別便可存取客戶自控金鑰設定期間選取的金鑰保存庫。
重要
若您停用系統指派的受控身分識別,則會移除金鑰保存庫的存取權,且無法再存取使用客戶金鑰加密的任何資料。 需要使用此資料的所有功能皆會停止運作。
重要
受控識別目前不支援跨目錄案例。 在 Azure 入口網站中設定客戶自控金鑰時,系統會在幕後自動指派受控身分識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別並不會轉移至新的租用戶;因此,客戶自控金鑰可能無法再運作。 如需詳細資訊,請參閱 Azure 資源受控識別常見問題集與已知問題 中的 在 Microsoft Entra 目錄之間移轉訂閱。
設定金鑰保存庫
使用客戶自控金鑰時,您必須在金鑰保存庫中設定兩個屬性:[虛刪除] 和 [不要清除]。 這些屬性預設不會啟用,但您可使用 Azure 入口網站、PowerShell 或 Azure CLI 在新的或現有金鑰保存庫啟用這些屬性。
重要
若在未啟用 [虛刪除] 和 [不要清除] 屬性的情況下刪除金鑰,您會無法復原 Azure AI 服務資源中的資料。
若要了解如何在現有的金鑰保存庫上啟用這些屬性,請參閱具有虛刪除和清除保護的 Azure Key Vault 復原管理。
為資源啟用客戶自控金鑰
若要在 Azure 入口網站中啟用客戶自控金鑰,請遵循下列步驟:
移至您的 Azure AI 服務資源。
在左側,選取 [加密]。
在 [加密類型] 下,選取 [客戶自控金鑰],如下列螢幕擷取畫面所示。
![Azure AI 服務資源的 [加密] 設定頁面的螢幕擷取畫面,其中在 [加密類型] 下方已選取 [客戶自控金鑰] 選項。](../media/cognitive-services-encryption/selectcmk.png?view=doc-intel-4.0.0)
指定金鑰
啟用客戶自控金鑰後,您可指定與 Azure AI 服務資源建立關聯的金鑰。
以 URI 形式指定金鑰
若要將金鑰指定為 URI,請遵循下列步驟:
在 Azure 入口網站中,前往您的金鑰保存庫。
在 [設定] 下方,選取 [金鑰]。
選取所需的金鑰,並選取金鑰以檢視其版本。 選取金鑰版本以檢視該版本的設定。
複製 [金鑰識別碼] 值,以提供 URI。
![此螢幕擷取畫面顯示金鑰版本的 Azure 入口網站頁面。[金鑰識別碼] 方塊包含金鑰 URI 的預留位置。](../media/cognitive-services-encryption/key-uri-portal.png?view=doc-intel-4.0.0)
返回 Azure AI 服務資源,並選取 [加密]。
在 [加密金鑰] 下,選取 [輸入金鑰 URI]。
將複製的 URI 貼至 [金鑰 URI] 方塊中。
![Azure AI 服務資源的 [加密] 頁面的螢幕擷取畫面,其中已選取 [輸入金鑰 URI] 選項,且 [金鑰 URI] 方塊包含值。](../media/cognitive-services-encryption/ssecmk2.png?view=doc-intel-4.0.0)
在 [訂閱] 下,選取包含金鑰保存庫的訂閱。
儲存您的變更。
從金鑰保存庫指定金鑰
若要指定金鑰保存庫中的金鑰,請先確定您有包含金鑰的金鑰保存庫。 接著,依照下列步驟執行:
前往 Azure AI 服務資源,並選取 [加密]。
在 [加密金鑰] 下,選取 [從 Key Vault 選取]。
選取包含您所要使用金鑰的金鑰保存庫。
選取您要使用的金鑰。
![Azure 入口網站中 [從 Azure Key Vault 選取金鑰] 頁面的螢幕擷取畫面。[訂用帳戶]、[金鑰保存庫]、[金鑰] 和 [版本] 方塊包含值。](../media/cognitive-services-encryption/ssecmk3.png?view=doc-intel-4.0.0)
儲存您的變更。
更新金鑰版本
當建立新版本的金鑰時,請更新 Azure AI 服務資源,以使用新的版本。 執行下列步驟:
- 前往 Azure AI 服務資源,並選取 [加密]。
- 輸入新金鑰版本的 URI。 或者,您可選取金鑰保存庫,並再次選取金鑰以更新版本。
- 儲存您的變更。
使用不同的金鑰
若要變更用於加密的金鑰,請遵循下列步驟:
- 前往 Azure AI 服務資源,並選取 [加密]。
- 輸入新金鑰的 URI。 或者,您也可選取金鑰保存庫,並選取新的金鑰。
- 儲存您的變更。
輪替客戶自控金鑰
您可根據您的合規性原則,在 Azure Key Vault 中輪替客戶自控金鑰。 輪替金鑰時,您必須更新 Azure AI 服務資源,以使用新的金鑰 URI。 若要了解如何更新資源以在 Azure 入口網站中使用新版本的金鑰,請參閱更新金鑰版本。
輪替金鑰不會觸發重新加密資源中的資料。 使用者不需要採取任何動作。
撤銷客戶自控金鑰的存取權
若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤銷存取權可有效封鎖 Azure AI 服務資源中所有資料的存取,因為 Azure AI 服務無法存取加密金鑰。
停用客戶自控金鑰
當停用客戶自控金鑰時,您的 Azure AI 服務資源就會使用 Microsoft 受控金鑰進行加密。 若要停用客戶自控金鑰,請遵循下列步驟:
- 前往 Azure AI 服務資源,並選取 [加密]。
- 清除 [使用您自己的金鑰] 旁的核取方塊。