Crittografia dei dati inattivi di Sicurezza dei contenuti di Azure AI
Sicurezza dei contenuti di Azure AI crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud. La crittografia protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Questo articolo illustra come Sicurezza dei contenuti di Azure AI gestisce la crittografia dei dati inattivi.
Informazioni sulla crittografia dei servizi di intelligenza artificiale di Azure
Sicurezza dei contenuti di Azure AI fa parte di Servizi di Azure AI. I dati di Servizi di Azure AI vengono crittografati e decrittografati usando la crittografia 256-bit AES conforme con gli standard FIPS 140-2. La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestiti per l'utente. I dati sono protetti per impostazione predefinita e non è necessario modificare il codice o le applicazioni per sfruttare la crittografia.
Informazioni sulla gestione delle chiavi di crittografia
Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con le proprie chiavi, dette chiavi gestite dal cliente. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
Chiavi gestite dal cliente con Azure Key Vault
Le chiavi gestite dal cliente, note anche come Bring Your Own Key (BYOK), offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare le API Azure Key Vault per generare chiavi. La risorsa dei Servizi di Azure AI e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault.
Per abilitare le chiavi gestite dal cliente, è necessario abilitare anche sia la proprietà Elimina temporaneamente che Non eliminare nell'insieme di credenziali delle chiavi.
Solo le chiavi RSA di dimensioni 2048 sono supportate con la crittografia di Servizi di Azure AI. Per altre informazioni sulle chiavi, vedere Chiavi Key Vault in Informazioni su chiavi, segreti e certificati di Azure Key Vault.
Abilitare le chiavi gestite dal cliente per la risorsa
Per abilitare le chiavi gestite dal cliente nel portale di Azure, seguire questa procedura:
- Passare alla risorsa dei Servizi di Azure AI.
- A sinistra, selezionare Crittografia.
- In Tipo di crittografia selezionare Chiavi gestite dal cliente, come illustrato nello screenshot seguente.
Specificare una chiave
Dopo aver abilitato le chiavi gestite dal cliente, è possibile specificare una chiave da associare alla risorsa dei Servizi di Azure AI.
Per specificare una chiave come URI, seguire questa procedura:
Nel portale di Azure andare all'insieme di credenziali delle chiavi.
In Impostazioni selezionare Chiavi.
Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le relative impostazioni.
Copiare il valore di Identificatore chiave, che fornisce l'URI.
Tornare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
In Chiave di crittografiaselezionare Immettere l'URIdella chiave.
Incollare l'URI copiato nella casella URI della chiave.
In Sottoscrizioneselezionare la sottoscrizione che contiene l'insieme di credenziali delle chiavi.
Salva le modifiche.
Aggiornare la versione della chiave
Quando si crea la nuova versione di una chiave, aggiornare la risorsa dei Servizi di Azure AI per usare la nuova versione. Seguire questa procedura:
- Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
- Immettere l'URI per la nuova versione della chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e quindi selezionare di nuovo la chiave per aggiornare la versione.
- Salvare le modifiche.
Usare una chiave diversa
Per modificare la chiave usata per la crittografia, seguire questa procedura:
- Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
- Immettere l'URI per la nuova chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e quindi selezionare una nuova chiave.
- Salvare le modifiche.
Ruotare le chiavi gestite dal cliente
È possibile ruotare una chiave gestita dal cliente in Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa dei Servizi di Azure AI per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nel portale di Azure, vedere Aggiornare la versione della chiave.
La rotazione della chiave non attiva la ri-crittografia dei dati nella risorsa. Non è necessaria alcuna azione da parte dell’utente.
Revocare una chiave gestita dal cliente
Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca di fatto l'accesso a tutti i dati nella risorsa di Servizi di Azure AI, perché ai Servizi di Azure AI non è consentito l’accesso alla chiave di crittografia.
Disabilitare le chiavi gestite dal cliente
Quando si disabilitano le chiavi gestite dal cliente, la risorsa dei Servizi di Azure AI viene quindi crittografata con chiavi gestite da Microsoft. Per disabilitare le chiavi gestite dal cliente, seguire questa procedura:
- Passare alla risorsa dei Servizi di Azure AI e quindi selezionare Crittografia.
- Selezionare chiavi gestite da Microsoft>Salva.
Se in precedenza sono state abilitate le chiavi gestite dal cliente, è stata abilitata anche un'identità gestita assegnata dal sistema, una funzionalità di Microsoft Entra ID. Dopo aver abilitato l'identità gestita assegnata dal sistema, questa risorsa verrà registrata in Microsoft Entra ID. Dopo la registrazione, all'identità gestita verrà concesso l'accesso all'insieme di credenziali delle chiavi selezionato durante la configurazione della chiave gestita dal cliente. Vedere altre informazioni sulle identità gestite.
Importante
Se si disabilitano le identità gestite assegnate dal sistema, l'accesso all'insieme di credenziali delle chiavi verrà rimosso e gli eventuali dati crittografati con le chiavi del cliente non saranno più accessibili. Tutte le funzionalità dipendenti da questi dati smetteranno di funzionare.
Importante
Le identità gestite attualmente non supportano gli scenari tra directory. Quando si configurano le chiavi gestite dal cliente nel portale di Azure, viene assegnata automaticamente un'identità gestita. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory di Microsoft Entra a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory di Microsoft Entra in Domande frequenti e problemi noti nell'uso di identità gestite per le risorse di Azure.