共用方式為

待用數據的自定義命令加密

  • 發行項

重要

自定義命令將於 2026 年 4 月 30 日淘汰。 自 2023 年 10 月 30 日起,您無法在 Speech Studio 中建立新的自定義命令應用程式。 與此變更相關, LUIS 將於 2025 年 10 月 1 日淘汰。 自 2023 年 4 月 1 日起,您無法建立新的 LUIS 資源。

自訂命令會在資料保存至雲端時自動加密。 自定義命令服務加密可保護您的數據,並協助您符合組織的安全性和合規性承諾。

注意

自訂命令服務不會針對與您的應用程式相關聯的 LUIS 資源自動啟用加密。 如有需要,您必須從這裡啟用 LUIS 資源的加密。

關於 Azure AI 服務加密

數據會使用符合 FIPS 140-2 規範的 256 位 AES 加密進行加密和解密。 加密和解密是透明的,這表示加密和存取會為您管理。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。

關於加密金鑰管理

當您使用自訂命令時,語音服務會將下列資料儲存在雲端中:

  • 自定義命令應用程式背後的設定 JSON
  • LUIS 撰寫和預測金鑰

根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 不過,您也可以使用自己的加密金鑰來管理您的訂用帳戶。 客戶自控金鑰 (CMK) 也稱為自備金鑰 (BYOK),可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。

重要

客戶管理的金鑰僅適用於在 2020 年 6 月 27 日之後建立的資源。 若要搭配使用 CMK 與語音服務,您必須建立新的語音資源。 建立資源之後,您可以使用 Azure 金鑰保存庫 來設定受控識別。

若要要求能夠使用客戶管理的密鑰,請填寫並提交客戶管理的密鑰要求表單。 大約需要 3-5 個工作天的時間,才能回聽您的要求狀態。 視需要而定,您可能會放在佇列中,並在可用空間時獲得核准。 核准搭配語音服務使用 CMK 之後,您必須從 Azure 入口網站 建立新的語音資源。

注意

客戶管理的金鑰 (CMK) 僅支援自訂命令。

自定義語音和自定義語音仍僅支援「攜帶您自己的 儲存體」(BYOS)。瞭解更多資訊

如果您使用指定的語音資源來存取這些服務,則必須透過明確設定 BYOS 來符合合規性需求。

使用 Azure 金鑰保存庫 的客戶自控金鑰

您必須使用 Azure 金鑰保存庫 來儲存客戶管理的金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,也可以使用 Azure 金鑰保存庫 API 來產生金鑰。 語音資源和金鑰保存庫必須位於相同的區域和相同的 Microsoft Entra 租使用者中,但可以位於不同的訂用帳戶中。 如需 Azure 金鑰保存庫 的詳細資訊,請參閱什麼是 Azure 金鑰保存庫?

建立並用來布建自定義命令應用程式的新語音資源時,數據一律會使用 Microsoft 管理的密鑰加密。 在建立資源時,無法啟用客戶管理的金鑰。 客戶自控金鑰會儲存在 Azure Key Vault 中,且必須使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源建立關聯的受控識別。 只有在使用 CMK 所需的定價層建立資源之後,才能使用受控識別。

啟用客戶管理的金鑰也會啟用系統指派的 受控識別,這是 Microsoft Entra ID 的功能。 啟用系統指派的受控識別之後,此資源會向 Microsoft Entra ID 註冊。 註冊之後,受控識別會獲得客戶管理密鑰設定期間所選取 金鑰保存庫的存取權。

重要

如果您停用系統指派的受控識別,將會移除密鑰保存庫的存取權,且使用客戶密鑰加密的任何資料將無法再存取。 任何相依於此數據的功能都會停止運作。

重要

受控識別目前不支援跨目錄案例。 當您在 Azure 入口網站 中設定客戶管理的金鑰時,系統會自動在涵蓋下指派受控識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別不會傳輸到新的租使用者,因此客戶管理的密鑰可能無法再運作。 如需詳細資訊,請參閱在常見問題中的 Microsoft Entra 目錄之間傳輸訂用帳戶,以及 Azure 資源的受控識別已知問題。

設定 Azure Key Vault

使用客戶管理的金鑰需要在金鑰保存庫中設定兩個屬性: 虛刪除不要清除。 這些屬性預設不會啟用,但可以在新的或現有的密鑰保存庫上使用 PowerShell 或 Azure CLI 來啟用。

重要

如果在未啟用 [虛刪除] 和 [不要清除] 屬性的情況下刪除金鑰,則無法復原 Azure AI 服務資源中的資料。

若要瞭解如何在現有的密鑰保存庫上啟用這些屬性,請參閱下列其中一篇文章中標題為 啟用虛刪除啟用清除保護 的章節:

Azure 儲存體 加密僅支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊,請參閱關於 Azure 金鑰保存庫 金鑰、秘密和憑證中的 金鑰保存庫 金鑰

為您的語音資源啟用客戶管理的金鑰

若要在 Azure 入口網站 中啟用客戶管理的金鑰,請遵循下列步驟:

  1. 流覽至您的語音資源。
  2. 語音資源的 [設定] 頁面上,選取 [加密]。 選取 [ 客戶管理的金鑰 ] 選項,如下圖所示。

Screenshot showing how to select Customer Managed Keys

指定索引鍵

啟用客戶自控金鑰之後,您即可指定與 Azure AI 服務資源建立關聯的金鑰。

將金鑰指定為 URI

若要將金鑰指定為 URI,請遵循下列步驟:

  1. 若要在 Azure 入口網站 中找到金鑰 URI,請流覽至您的金鑰保存庫,然後選取 [金鑰] 設定。 選取所需的金鑰,然後選取金鑰以檢視其版本。 選取金鑰版本以檢視該版本的設定。

  2. 複製 [金鑰識別碼] 字段的值,以提供 URI。

    Screenshot showing key vault key URI

  3. 語音服務的 [加密 設定] 中,選擇 [ 輸入金鑰 URI] 選項。

  4. 將您複製的 URI 貼到 [金鑰 URI] 欄位中。

  5. 指定包含金鑰保存庫的訂用帳戶。

  6. 儲存您的變更。

從金鑰保存庫指定金鑰

若要從金鑰保存庫指定金鑰,請先確定您有包含金鑰的金鑰保存庫。 若要從金鑰保存庫指定金鑰,請遵循下列步驟:

  1. 選擇 [從 金鑰保存庫 選取] 選項。

  2. 選取包含您要使用之金鑰的金鑰儲存庫。

  3. 從金鑰保存庫選取金鑰。

    Screenshot showing customer-managed key option

  4. 儲存您的變更。

更新金鑰版本

當您建立新版本的金鑰時,請更新語音資源以使用新版本。 執行下列步驟:

  1. 流覽至您的語音資源,並顯示 加密 設定。
  2. 輸入新金鑰版本的 URI。 或者,您可以再次選取金鑰保存庫和金鑰,以更新版本。
  3. 儲存您的變更。

使用不同的金鑰

若要變更用於加密的金鑰,請遵循下列步驟:

  1. 流覽至您的語音資源,並顯示 加密 設定。
  2. 輸入新金鑰的 URI。 或者,您可以選取金鑰保存庫,然後選擇新的金鑰。
  3. 儲存您的變更。

輪替客戶管理的金鑰

您可以根據您的合規性政策,在 Azure 中輪替客戶管理的密鑰 金鑰保存庫。 輪替金鑰時,您必須更新語音資源以使用新的金鑰 URI。 若要瞭解如何更新資源以在 Azure 入口網站 中使用新版本的金鑰,請參閱更新密鑰版本

輪替金鑰不會觸發資源中的數據重新加密。 使用者不需要採取進一步的動作。

撤銷客戶自控金鑰的存取權

若要撤銷客戶管理的密鑰存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure 金鑰保存庫 PowerShellAzure 金鑰保存庫 CLI。 撤銷存取權可有效封鎖 Azure AI 服務資源中所有資料的存取,因為 Azure AI 服務無法存取加密金鑰。

停用客戶管理的金鑰

當您停用客戶管理的密鑰時,語音資源會接著使用 Microsoft 管理的金鑰加密。 若要停用客戶管理的金鑰,請遵循下列步驟:

  1. 流覽至您的語音資源,並顯示 加密 設定。
  2. 取消選取 [使用您自己的金鑰設定] 旁的複選框。

下一步