待用資料的內容仲裁加密

  • 發行項

Content Moderator 會在資料保存至雲端時自動加密資料,協助達成組織安全性和合規性目標。

關於 Azure AI 服務加密

資料會使用 FIPS 140-2 相容 256 位 AES 加密進行加密和解密。 加密和解密是透明的,這表示加密和存取會為您管理。 根據預設,您的資料是安全的。 您不需要修改程式碼或應用程式,即可利用加密。

關於加密金鑰管理

根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 您也可以使用自己的金鑰來管理訂用帳戶,這些金鑰稱為客戶管理的金鑰。 當您使用客戶管理的金鑰時,您可以透過建立、輪替、停用和撤銷存取控制的方式,擁有更大的彈性。 您也可以稽核用來保護資料的加密金鑰。 如果您的訂用帳戶已設定客戶管理的金鑰,則會提供雙重加密。 透過第二層的保護,您可以透過 Azure 金鑰保存庫控制加密金鑰。

重要

客戶管理的金鑰僅適用于 E0 定價層。 若要要求能夠使用客戶管理的金鑰,請填寫並提交 Content Moderator 客戶自控金鑰要求表單 。 大約需要 3-5 個工作天的時間,才能回聽您的要求狀態。 視需要而定,您可能會放在佇列中,並在可用空間時獲得核准。 核准搭配 Content Moderator 服務使用 CMK 之後,您必須建立新的 Content Moderator 資源,然後選取 E0 作為定價層。 建立具有 E0 定價層的 Content Moderator 資源之後,您可以使用 Azure 金鑰保存庫來設定受控識別。

客戶管理的金鑰適用于所有 Azure 區域。

使用 Azure 金鑰保存庫 的客戶自控金鑰

當您使用客戶管理的金鑰時,必須使用 Azure 金鑰保存庫來儲存金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,也可以使用金鑰保存庫 API 來產生金鑰。 Azure AI 服務資源和金鑰保存庫必須位於相同的區域和相同的 Microsoft Entra 租使用者中,但它們可以位於不同的訂用帳戶中。 如需金鑰保存庫的詳細資訊,請參閱 什麼是 Azure 金鑰保存庫?

當您在建立新的 Azure AI 服務資源時,請一律使用 Microsoft 管理的金鑰加密。 當您建立資源時,無法啟用客戶管理的金鑰。 客戶管理的金鑰會儲存在金鑰保存庫中。 需要使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源建立關聯的受控身分識別。 只有在使用客戶自控金鑰所需的定價層來建立資源之後,才能使用受控識別。

啟用客戶管理的金鑰也會啟用系統指派的 受控識別 ,這是 Microsoft Entra ID 的功能。 啟用系統指派的受控識別之後,會向 Microsoft Entra 識別碼註冊此資源。 註冊之後,受控識別會獲得客戶自控金鑰設定期間所選取金鑰保存庫的存取權。

重要

如果您停用系統指派的受控識別,則會移除金鑰保存庫的存取權,且無法再存取使用客戶金鑰加密的任何資料。 相依于此資料的任何功能都停止運作。

重要

受控識別目前不支援跨目錄案例。 當您在Azure 入口網站中設定客戶管理的金鑰時,系統會自動在幕後指派受控識別。 如果您後續將訂用帳戶、資源群組或資源從某個 Microsoft Entra 目錄移至另一個目錄,則與資源相關聯的受控識別不會傳輸到新的租使用者,因此客戶管理的金鑰可能無法再運作。 如需詳細資訊,請參閱 在常見問題中的 Microsoft Entra 目錄 之間傳輸訂用帳戶,以及 Azure 資源的 受控識別已知問題。

設定金鑰保存庫

當您使用客戶管理的金鑰時,您必須在金鑰保存庫中設定兩個屬性: 虛刪除 不要清除 。 這些屬性預設不會啟用,但您可以使用 Azure 入口網站、PowerShell 或 Azure CLI,在新的或現有的金鑰保存庫上加以啟用。

重要

若在未啟用 [虛刪除] 和 [不要清除] 屬性的情況下刪除金鑰,您會無法復原 Azure AI 服務資源中的資料。

若要瞭解如何在現有的金鑰保存庫上啟用這些屬性,請參閱 Azure 金鑰保存庫使用虛刪除和清除保護 進行復原管理。

為您的資源啟用客戶管理的金鑰

若要在Azure 入口網站中啟用客戶管理的金鑰,請遵循下列步驟:

  1. 移至您的 Azure AI 服務資源。

  2. 在左側,選取 [ 加密 ]。

  3. 在 [加密類型 ] 底下 ,選取 [客戶管理的金鑰 ],如下列螢幕擷取畫面所示。

    Screenshot of the Encryption settings page for an Azure AI services resource. Under Encryption type, the Customer Managed Keys option is selected.

指定索引鍵

啟用客戶自控金鑰後,您可指定與 Azure AI 服務資源建立關聯的金鑰。

將金鑰指定為 URI

若要將金鑰指定為 URI,請遵循下列步驟:

  1. 在Azure 入口網站中,移至您的金鑰保存庫。

  2. 在 [設定] ,選取 [ 金鑰 ]。

  3. 選取所需的金鑰,然後選取金鑰以檢視其版本。 選取金鑰版本以檢視該版本的設定。

  4. 複製提供 URI 的 金鑰識別碼 值。

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. 返回 Azure AI 服務資源,並選取 [加密]。

  6. 在 [加密金鑰 ] 底下 ,選取 [ 輸入金鑰 URI ]。

  7. 將您複製的 URI 貼到 [金鑰 URI] 方塊中。

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. 在 [訂用帳戶 ] 底 下,選取包含金鑰保存庫的訂用帳戶。

  9. 儲存您的變更。

從金鑰保存庫指定金鑰

若要從金鑰保存庫指定金鑰,請先確定您有包含金鑰的金鑰保存庫。 接著,依照下列步驟執行:

  1. 前往 Azure AI 服務資源,並選取 [加密]。

  2. 在 [加密金鑰 ] 底下 ,選取 [從金鑰保存庫 選取 ]。

  3. 選取包含您要使用的金鑰的金鑰保存庫。

  4. 選取您想要使用的金鑰。

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. 儲存您的變更。

更新金鑰版本

當建立新版本的金鑰時,請更新 Azure AI 服務資源,以使用新的版本。 執行下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 輸入新金鑰版本的 URI。 或者,您可以選取金鑰保存庫,然後再次選取金鑰以更新版本。
  3. 儲存您的變更。

使用不同的金鑰

若要變更用於加密的金鑰,請遵循下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 輸入新金鑰的 URI。 或者,您可以選取金鑰保存庫,然後選取新的金鑰。
  3. 儲存您的變更。

輪替客戶管理的金鑰

您可以根據您的合規性政策,在 金鑰保存庫 中輪替客戶管理的金鑰。 輪替金鑰時,您必須更新 Azure AI 服務資源,以使用新的金鑰 URI。 若要瞭解如何更新資源以在Azure 入口網站中使用新版本的金鑰,請參閱 更新金鑰版本

輪替金鑰不會觸發資源中的資料重新加密。 使用者不需要採取進一步的動作。

撤銷客戶自控金鑰的存取權

若要撤銷客戶管理的金鑰存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure 金鑰保存庫 PowerShell Azure 金鑰保存庫 CLI 。 撤銷存取權可有效封鎖 Azure AI 服務資源中所有資料的存取,因為 Azure AI 服務無法存取加密金鑰。

停用客戶管理的金鑰

當停用客戶自控金鑰時,您的 Azure AI 服務資源就會使用 Microsoft 受控金鑰進行加密。 若要停用客戶管理的金鑰,請遵循下列步驟:

  1. 前往 Azure AI 服務資源,並選取 [加密]。
  2. 清除 [使用您自己的金鑰 ] 旁 的核取方塊。

下一步