待用數據的 Azure AI 翻譯工具加密
翻譯工具會自動加密雲端上傳的數據,以符合組織安全性和合規性目標。
Azure AI 服務加密
數據會使用 FIPS 140-2 相容的 256 位AES加密來加密和解密。 加密和解密是透明的,這表示系統會為您管理加密和存取。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。
加密金鑰管理
根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 如果您使用支援客戶自控金鑰的定價層,就可以在 Azure 入口網站的 [加密] 區段中查看資源的加密設定,如下圖所示。
對於僅支援Microsoft受控加密密鑰的訂用帳戶,沒有加密區段。
客戶管理的金鑰與 Azure Key Vault
根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 您也可以使用自己名為客戶自控金鑰 (CMK) 的金鑰來管理訂用帳戶。 CMK 可讓您以更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。 如果您的訂閱已設定 CMK,則可獲得雙重加密,以提供第二層保護,同時讓您可透過 Azure Key Vault 控制加密金鑰。
請遵循下列步驟為翻譯工具啟用客戶自控金鑰:
- 建立您的新區域翻譯工具或區域 Azure AI 服務資源。 客戶自控金鑰不適用於全域資源。
- 在 Azure 入口網站中啟用受控識別,並新增客戶自控金鑰資訊。
- 在自訂翻譯工具中建立新的工作區,並與此訂閱資訊建立關聯。
啟用客戶管理的金鑰
您必須使用 Azure Key Vault 來儲存客戶自控金鑰。 您可以建立自己的金鑰並將其儲存在金鑰保存庫中,或是使用 Azure Key Vault API 來產生金鑰。 Azure AI 服務資源和金鑰保存庫庫必須位於相同的區域和相同的 Microsoft Entra 租用戶中,但它們可以位於不同的訂用帳戶中。 如需 Azure Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault。
一律使用 Microsoft 受控的金鑰,加密新的 Azure AI 服務資源。 建立資源時,無法啟用客戶自控金鑰。 客戶自控金鑰均儲存於 Azure Key Vault 中。 您必須使用存取原則來佈建金鑰保存庫,以將金鑰權限授與和 Azure AI 服務資源相關聯的受控識別。 建立資源之後,即可立即使用受控識別。
若要了解如何在 Azure Key Vault 使用客戶自控金鑰進行 Azure AI 服務加密,請參閱:
啟用客戶自控金鑰也會啟用系統指派的受控識別,這是 Microsoft Entra ID 的功能。 啟用系統指派的受控識別後,此資源會透過 Microsoft Entra ID 進行註冊。 註冊之後,即會將在客戶自控金鑰設定期間選取的 Key Vault 存取權提供給受控識別。 您可以深入了解受控識別。
重要
如果您停用系統指派的受控識別,則會移除密鑰保存庫的存取權,且無法再存取使用客戶密鑰加密的任何數據。 相依於此數據的任何功能都停止運作。 您部署的任何模型也會取消部署。 所有上傳的數據都會從自定義翻譯工具中刪除。 如果重新啟用受控識別,我們不會為您自動重新部署模型。
重要
受控識別目前不支援跨目錄案例。 當在 Azure 入口網站中設定客戶自控金鑰時,系統會在幕後自動指派受控識別。 當您將訂用帳戶、資源群組或資源從一個Microsoft Entra 目錄移至另一個時,不會傳輸受控識別和客戶管理的密鑰。 如需詳細資訊,請參閱 Azure 資源受控識別常見問題集與已知問題中的在 Microsoft Entra 目錄之間移轉訂閱。
將客戶自控金鑰儲存在 Azure Key Vault
若要啟用客戶自控金鑰,您必須使用 Azure Key Vault 儲存自己的金鑰。 您必須在金鑰保存庫上同時啟用虛刪除和不要清除屬性。
RSA Azure AI 服務加密僅支援大小為 2048 的金鑰。 如需金鑰的詳細資訊,請參閱關於 Azure 金鑰保存庫 金鑰、秘密和憑證中的 金鑰保存庫 金鑰。
注意
如果刪除整個金鑰保存庫,您的數據就不會再顯示,而且所有模型都會取消部署。 所有上傳的數據都會從自定義翻譯工具中刪除。
撤銷客戶自控金鑰的存取權
若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤銷存取實際上會封鎖存取 Azure AI 服務資源中的所有數據,而且您的模型已取消部署,因為 Azure AI 服務無法存取加密密鑰。 所有上傳的數據也會從 Azure AI 自訂翻譯工具中刪除。