Datenverschlüsselung im Ruhezustand für den Azure KI Übersetzer
Der Übersetzer verschlüsselt automatisch Ihre in die Cloud hochgeladenen Daten und unterstützt Sie so bei der Einhaltung der Sicherheits- und Complianceziele Ihrer Organisation.
Verschlüsselung in Azure KI Services
Daten werden mit FIPS 140-2-konformer 256-Bit AES-Verschlüsselung ver- und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.
Verwaltung von Verschlüsselungsschlüsseln
Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Wenn Sie einen Tarif verwenden, der kundenseitig verwaltete Schlüssel unterstützt, können Sie die Verschlüsselungseinstellungen für Ihre Ressource im Abschnitt Verschlüsselung des Azure-Portals einsehen, wie in der folgenden Abbildung dargestellt.
Für Abonnements, die nur von Microsoft verwaltete Verschlüsselungsschlüssel unterstützen, ist kein Abschnitt Verschlüsselung vorhanden.
Von Kunden verwaltete Schlüssel mit Azure Key Vault
Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Optional können Sie Ihr Abonnement auch mit eigenen Schlüsseln verwalten, die kundenseitig verwaltete Schlüssel genannt werden. Kundenseitig verwaltete Schlüssel (CMK) bieten größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. Wenn für Ihr Abonnement CMK konfiguriert ist, wird darüber hinaus die doppelte Verschlüsselung bereitgestellt, mit der eine zweite Schutzebene zur Verfügung steht, während Sie den Verschlüsselungsschlüssel über Ihren Azure Key Vault kontrollieren können.
Führen Sie die folgenden Schritte aus, um kundenseitig verwaltete Schlüssel für Übersetzer zu aktivieren:
- Erstellen Sie Ihre neue regionale Textübersetzungs- oder Azure KI Services-Ressource. Kundenseitig verwaltete Schlüssel funktionieren nicht mit einer globalen Ressource.
- Aktivieren Sie die verwaltete Identität im Azure-Portal, und fügen Sie Ihre Informationen zum vom Kunden verwalteten Schlüssel hinzu.
- Erstellen Sie einen neuen Arbeitsbereich im benutzerdefinierten Translator, und ordnen Sie diese Abonnementinformationen zu.
Aktivieren von vom Kunden verwalteten Schlüsseln
Sie müssen Azure Key Vault zum Speichern Ihrer vom Kunden verwalteten Schlüssel verwenden. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Die Azure AI Services-Ressource und der Schlüsseltresor müssen sich in der gleichen Region und im gleichen Microsoft Entra-Mandant befinden, können aber auch in verschiedenen Abonnements sein. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).
Eine neue Azure KI Services-Ressource wird immer mit von Microsoft verwalteten Schlüsseln verschlüsselt. Es ist nicht möglich, zum Zeitpunkt der Ressourcenerstellung kundenseitig verwaltete Schlüssel zu aktivieren. Kundenseitig verwaltete Schlüssel werden in Azure Key Vault gespeichert. Für den Schlüsseltresor müssen Zugriffsrichtlinien bereitgestellt werden. Mit diesen werden Schlüsselberechtigungen für die verwaltete Identität erteilt, die der Azure KI Services-Ressource zugeordnet ist. Die verwaltete Identität ist verfügbar, sobald die Ressource erstellt wurde.
Informationen zur Verwendung kundenseitig verwalteter Schlüssel mit Azure Key Vault für die Azure KI Services-Verschlüsselung finden Sie hier:
Durch das Aktivieren von kundenseitig verwalteten Schlüsseln wird außerdem eine systemseitig zugewiesene verwaltete Identität aktiviert. Dabei handelt es sich um ein Feature von Microsoft Entra ID. Sobald die dem System zugewiesene verwaltete Identität aktiviert wurde, ist diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde. Sie können sich weiter über verwaltete Identitäten informieren.
Wichtig
Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren dann nicht mehr. Außerdem wird die Bereitstellung aller bereitgestellten Modelle aufgehoben. Alle hochgeladenen Daten werden aus dem benutzerdefinierten Translator gelöscht. Wenn die verwalteten Identitäten neu aktiviert werden, stellen wir das Modell nicht automatisch erneut für Sie bereit.
Wichtig
Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie vom Kunden verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Ihre verwaltete Identität und kundenseitig verwaltete Schlüssel werden nicht übertragen, wenn Sie ein Abonnement, eine Ressourcengruppe oder eine Ressource aus einem Microsoft Entra-Verzeichnis in ein anderes verschieben. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.
Speichern von kundenseitig verwalteten Schlüsseln in Azure Key Vault
Wenn Sie kundenseitig verwaltete Schlüssel aktivieren möchten, müssen Sie Ihre Schlüssel in einer Azure Key Vault-Instanz speichern. Sie müssen die Eigenschaften Vorläufiges Löschen und Do Not Purge (Nicht bereinigen) im Schlüsseltresor aktivieren.
Für die Azure KI Services-Verschlüsselung werden nur RSA-Schlüssel der Größe 2048 unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel in Informationen zu Schlüsseln, Geheimnissen und Zertifikaten in Azure Key Vault.
Hinweis
Wenn der gesamte Schlüsseltresor gelöscht wird, werden Ihre Daten nicht mehr angezeigt, und die Bereitstellung aller Ihrer Modelle wird aufgehoben. Alle hochgeladenen Daten werden aus dem benutzerdefinierten Translator gelöscht.
Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel
Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Azure KI Services-Ressource blockiert, und die Bereitstellung Ihrer Modelle wird aufgehoben, da Azure KI Services keinen Zugriff auf den Verschlüsselungsschlüssel hat. Außerdem werden alle hochgeladenen Daten aus dem benutzerdefinierten Translator von Azure KI gelöscht.