Cifrado de datos en reposo de Traductor de Azure AI
Traductor cifra automáticamente los datos que carga en la nube para cumplir con los objetivos de seguridad y cumplimiento de su organización.
Cifrado de servicios de Azure AI
Los datos se cifran y descifran con el cifrado de AES de 256 bits que cumple con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran automáticamente. Dado que los datos están protegidos de forma predeterminada, no es necesario modificar el código ni las aplicaciones para utilizar el cifrado.
Administración de claves de cifrado
De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. Si usa un plan de tarifa que admite claves administradas por el cliente, puede ver la configuración de cifrado del recurso en la sección Cifrado de Azure Portal, tal como se muestra en la siguiente imagen.
En el caso de las suscripciones que solo admiten claves de cifrado administradas por Microsoft, no hay una sección Cifrado.
Claves administradas por el cliente con Azure Key Vault
De forma predeterminada, su suscripción usa claves de cifrado administradas por Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente (CMK). Estas claves ofrecen mayor flexibilidad para crear, rotar, deshabilitar y revocar los controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos. Si la opción CMK está configurada en su suscripción, dispondrá de un cifrado doble, lo que constituye un segundo nivel de protección, y al mismo tiempo podrá controlar la clave de cifrado mediante Azure Key Vault.
Siga estos pasos para habilitar las claves administradas por el cliente para Traductor:
- Cree su nuevo recurso Translator regional o de servicios de Azure AI regional. Las claves administradas por el cliente no funcionarán con un recurso global.
- Habilite la identidad administrada en Azure Portal y agregue la información de las claves administradas por el cliente.
- Cree un área de trabajo en Traductor personalizado y asocie esta información de suscripción.
Habilitar claves administradas del cliente
Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. El recurso de servicios de Azure AI y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.
Un nuevo recurso de servicios de Azure AI siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar claves administradas por el cliente en el momento en que se crea el recurso. Las claves administradas por el cliente se almacenan en Azure Key Vault. El almacén de claves se debe aprovisionar con directivas de acceso que concedan permisos de clave a la identidad administrada que está asociada al recurso de servicios de Azure AI. La identidad administrada está disponible en cuanto se crea el recurso.
Para aprender a usar claves administradas por el cliente con Azure Key Vault para el cifrado de servicios de Azure AI, consulte:
Al habilitar las claves administradas por el cliente, también se habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez que se habilite la identidad administrada asignada por el sistema, este recurso se registra con Microsoft Entra ID. Tras su registro, se concederá a la identidad administrada acceso a la instancia de Key Vault seleccionada durante la configuración de la clave administrada por el cliente. Puede obtener más información acerca de las identidades administradas.
Importante
Si deshabilita las identidades administradas asignadas por el sistema, se quita el acceso al almacén de claves y los datos cifrados con las claves de cliente dejan de estar disponibles. Las características que dependen de estos datos dejan de funcionar. También se cancelará la implementación de cualquier modelo que haya implementado. Todos los datos cargados se eliminan de Traductor personalizado. Si se vuelven a habilitar las identidades administradas, el modelo no se reimplementará automáticamente.
Importante
Las identidades administradas no admiten actualmente escenarios entre directorios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada en segundo plano. Su Identidad administrada y sus claves administradas por el cliente no se transfieren cuando mueve una suscripción, un grupo de recursos o un recurso de un directorio de Microsoft Entra a otro. Para más información, vea Transferencia de una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.
Almacenamiento de claves administradas por el cliente en Azure Key Vault
Para habilitar las claves administradas por el cliente, debe usar una instancia de Azure Key Vault para almacenarlas. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves.
Las claves RSA de tamaño 2048 son las únicas que se admiten con el cifrado de los servicios de Azure AI. Para obtener más información acerca de las claves, consulte la sección Claves en Key Vault en Información acerca de claves, secretos y certificados de Azure Key Vault.
Nota:
Si se elimina todo el almacén de claves, los datos no volverán a mostrarse y se anulará la implementación de todos los modelos. Todos los datos cargados se eliminan de Traductor personalizado.
Revocación del acceso a las claves administradas por el cliente
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea de manera eficaz el acceso a todos los datos del recurso de servicios de Azure AI y se anulará la implementación de los modelos, ya que los servicios no pueden acceder a la clave de cifrado. Todos los datos cargados también se eliminan del Traductor de Azure AI.