Šifrování neaktivních uložených dat v Azure AI Content Safety

Azure AI Content Safety automaticky šifruje vaše data, když jsou trvale uložená v cloudu. Šifrování chrání vaše data a pomáhá splnit závazky vaší organizace týkající se zabezpečení a dodržování předpisů. Tento článek popisuje, jak Azure AI Content Safety zpracovává šifrování neaktivních uložených dat.

Šifrování služeb Azure AI

Zabezpečení obsahu Azure AI je součástí služeb Azure AI. Data služeb Azure AI se šifrují a dešifrují pomocí 256bitového šifrování AES vyhovující standardu FIPS 140-2. Šifrování a dešifrování jsou transparentní, což znamená, že šifrování a přístup se spravují za vás. Vaše data jsou zabezpečená ve výchozím nastavení, a abyste mohli využívat šifrování, nemusíte upravovat kód ani aplikace.

Správa šifrovacích klíčů

Vaše předplatné ve výchozím nastavení používá šifrovací klíče spravované Microsoftem. K dispozici je také možnost spravovat předplatné pomocí vlastních klíčů označovaných jako klíče spravované zákazníkem (CMK). Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Klíče spravované zákazníkem (CMK), označované také jako Přineste si vlastní klíč (BYOK), nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Prostředek služeb Azure AI a trezor klíčů musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Pokud chcete povolit klíče spravované zákazníkem, musíte v trezoru klíčů povolit také vlastnosti obnovitelného odstranění a neprázdnit .

Šifrování služeb Azure AI podporuje pouze klíče RSA velikosti 2048. Další informace o klíčích najdete v tématu Klíče služby Key Vault v tématu Klíče služby Azure Key Vault, tajné kódy a certifikáty.

Povolení klíčů spravovaných zákazníkem pro váš prostředek

Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

1. Přejděte k prostředku služeb Azure AI.
2. Na levé straně vyberte Šifrování.
3. V části Typ šifrování vyberte Klíče spravované zákazníkem, jak je znázorněno na následujícím snímku obrazovky.

Zadání klíče

Po povolení klíčů spravovaných zákazníkem můžete zadat klíč, který se má přidružit k prostředku služeb Azure AI.

Zadání klíče jako identifikátoru URI

Chcete-li zadat klíč jako identifikátor URI, postupujte takto:

1. Na webu Azure Portal přejděte do trezoru klíčů.

2. V části Nastavení vyberte Klíče.

3. Vyberte požadovaný klíč a pak ho vyberte, pokud chcete zobrazit jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.

4. Zkopírujte hodnotu identifikátoru klíče, která poskytuje identifikátor URI.

   

5. Vraťte se k prostředku služeb Azure AI a pak vyberte Šifrování.

6. V části Šifrovací klíč vyberte Zadat identifikátor URI klíče.

7. Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče.

   

8. V části Předplatné vyberte předplatné, které obsahuje trezor klíčů.

9. Uložte provedené změny.

Zadání klíče z trezoru klíčů

Pokud chcete zadat klíč z trezoru klíčů, nejprve se ujistěte, že máte trezor klíčů, který obsahuje klíč. Poté postupujte následovně:

1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.

2. V části Šifrovací klíč vyberte vybrat ze služby Key Vault.

3. Vyberte trezor klíčů obsahující klíč, který chcete použít.

4. Vyberte klíč, který chcete použít.

   

5. Uložte provedené změny.

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, aktualizujte prostředek služeb Azure AI tak, aby používal novou verzi. Postupujte následovně:

1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
2. Zadejte identifikátor URI pro novou verzi klíče. Případně můžete vybrat trezor klíčů a pak ho znovu vybrat, abyste aktualizovali verzi.
3. Uložte provedené změny.

Použití jiného klíče

Pokud chcete změnit klíč, který používáte k šifrování, postupujte takto:

1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
2. Zadejte identifikátor URI pro nový klíč. Případně můžete vybrat trezor klíčů a pak vybrat nový klíč.
3. Uložte provedené změny.

Obměna klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem můžete ve službě Key Vault otočit podle zásad dodržování předpisů. Při obměně klíče je nutné aktualizovat prostředek služeb Azure AI tak, aby používal nový identifikátor URI klíče. Informace o tom, jak aktualizovat prostředek tak, aby používal novou verzi klíče na webu Azure Portal, najdete v tématu Aktualizace verze klíče.

Obměna klíče neaktivuje opětovné šifrování dat v prostředku. Uživatel nevyžaduje žádnou další akci.

Odvolání klíče spravovaného zákazníkem

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu efektivně blokuje přístup ke všem datům v prostředku služeb Azure AI, protože šifrovací klíč je nepřístupný službami Azure AI.

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, prostředek služeb Azure AI se pak zašifruje pomocí klíčů spravovaných Microsoftem. Pokud chcete zakázat klíče spravované zákazníkem, postupujte takto:

1. Přejděte k prostředku služeb Azure AI a pak vyberte Šifrování.
2. Vyberte Uložit spravované klíče>Microsoftu.

Pokud jste dříve povolili klíče spravované zákazníkem, povolili jste také spravovanou identitu přiřazenou systémem, což je funkce Microsoft Entra ID. Jakmile je spravovaná identita přiřazená systémem povolená, tento prostředek se zaregistruje s ID Microsoft Entra. Po registraci bude spravovaná identita udělena přístup ke službě Key Vault vybrané během nastavení klíče spravovaného zákazníkem. Další informace o spravovaných identitách.

Důležité

Pokud zakážete spravované identity přiřazené systémem, odebere se přístup k trezoru klíčů a všechna data zašifrovaná pomocí klíčů zákazníka už nebudou přístupná. Všechny funkce závislé na těchto datech přestanou fungovat.

Důležité

Spravované identity v současné době nepodporují scénáře křížového adresáře. Při konfiguraci klíčů spravovaných zákazníkem na webu Azure Portal se spravovaná identita automaticky přiřadí pod kryty. Pokud následně přesunete předplatné, skupinu prostředků nebo prostředek z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená k prostředku se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace najdete v tématu Převod předplatného mezi adresáři Microsoft Entra v nejčastějších dotazech a známých problémech se spravovanými identitami pro prostředky Azure.

Další kroky

• Přehled zabezpečení obsahu