Configurare le chiavi gestite dal cliente per Azure AI Search dati crittografati

L'abilitazione delle chiavi gestite dal cliente (CMK) aggiunge sicurezza aggiuntiva sulla crittografia dei dati inattivi predefinita quando si usano chiavi gestite da Microsoft. Quando si abilita cmk, si controllano le chiavi di crittografia usate per proteggere i dati, inclusa la possibilità di:

Ruotare le chiavi in base a una pianificazione definita dal cliente
Disabilitare o revocare le chiavi per bloccare l'accesso al contenuto crittografato (le chiavi memorizzate nella cache possono essere persistenti per un massimo di 60 minuti)
Controllare l'utilizzo delle chiavi tramite la registrazione di Azure Key Vault

È possibile creare, archiviare e gestire le chiavi usando:

Azure Key Vault
Azure Key Vault modulo di protezione hardware gestito(Hardware Security Module). Un modulo di protezione hardware gestito di Azure Key Vault è un modulo di protezione hardware convalidato FIPS 140-2 livello 3. Per eseguire la migrazione da Azure Key Vault a HSM, rotate le chiavi e scegliere HSM gestito per l'archiviazione.

Questo articolo illustra come configurare cmk per una protezione aggiuntiva dei dati crittografati in Azure AI Search.

Importante

L'aggiunta di una chiave gestita dal cliente (CMK) si applica alla crittografia dei dati a riposo. Se è necessario proteggere i dati in uso, è consigliabile usare il confidential computing.

Configurare la chiave gestita dal cliente per gli oggetti Azure AI Search

Gli oggetti con dati crittografati che possono essere configurati con una chiave gestita dal cliente includono indici, elenchi sinonimi, indicizzatori, origini dati, vettori e set di competenze. La crittografia è dispendiosa a livello di calcolo per decrittografare in modo che solo il contenuto sensibile sia crittografato.

La crittografia viene eseguita su:

Tutto il contenuto all'interno di indici e elenchi di sinonimi.
Contenuto sensibile in indicizzatori, origini dati, set di competenze e vettorizzatori. Il contenuto sensibile si riferisce a stringhe di connessione, descrizioni, identità, chiavi e input utente. Ad esempio, i set di competenze hanno chiavi degli strumenti Foundry, e alcune abilità accettano input dagli utenti, come entità personalizzate. In entrambi i casi, le chiavi e gli input dell'utente vengono crittografati. Vengono crittografati anche eventuali riferimenti a risorse esterne, ad esempio Azure origini dati o Azure modelli OpenAI.

L'aggiunta di una chiave gestita dal cliente a un oggetto deve verificarsi quando l'oggetto viene appena creato. È importante tenere presente quanto segue:

Non è possibile aggiungere retroattivamente una CMK a un oggetto esistente. Se si vuole aggiungere una chiave gestita dal cliente a un oggetto esistente, è necessario eliminare e ricreare l'oggetto con la crittografia abilitata.
Dopo aver configurato la Chiave gestita dal cliente (CMK), la crittografia avviene ogni volta che il servizio scrive i dati, inclusi i dati a riposo (archiviazione a lungo termine) o i dati temporanei memorizzati nella cache (archiviazione a breve termine). Per oggetti come origini dati, indicizzatori e set di competenze, la definizione dell'oggetto viene crittografata. Per gli indici, i documenti indicizzati stessi (non solo lo schema dell'indice) vengono crittografati.
Anche se non è possibile aggiungere la crittografia a un oggetto esistente, una volta configurato un oggetto per la crittografia, è possibile modificare tutte le parti della relativa definizione di crittografia, incluso il passaggio a un insieme di credenziali delle chiavi diverso o all'archiviazione HMS purché la risorsa si trovi nello stesso tenant.
La crittografia con una CMK è irreversibile. È possibile ruotare le chiavi e cambiare la configurazione del CMK, ma la cifratura dell'indice dura per l'intera vita dell'indice. Dopo la crittografia con cmk, un indice è accessibile solo se il servizio di ricerca ha accesso alla chiave. Se si revoca l'accesso alla chiave eliminando o modificando l'assegnazione di ruolo, l'indice non è utilizzabile e il servizio non può essere ridimensionato finché l'indice non viene eliminato o non viene ripristinato l'accesso alla chiave. Se si eliminano o si ruotano le chiavi, la chiave più recente viene memorizzata nella cache per un massimo di 60 minuti.
Se è necessaria la chiave gestita dal cliente (CMK) nel servizio di ricerca, impostare un criterio di applicazione.
L'applicazione delle CMK tramite Criteri di Azure e la configurazione CMK a livello di servizio (ancora in anteprima) sono impostazioni indipendenti. È possibile usare uno o entrambi, a seconda delle esigenze. La configurazione CMK a livello di servizio applica una chiave predefinita ai nuovi oggetti, mentre l'applicazione di Criteri di Azure garantisce che tutti gli oggetti siano conformi ai requisiti di crittografia. Se si abilita un criterio di imposizione della chiave cmk senza una chiave a livello di servizio, tutti gli oggetti abilitati per cmk devono specificare la propria chiave di crittografia in fase di creazione. Le richieste di creazione di oggetti che omettono la configurazione cmk hanno esito negativo.

Abilitare CMK a livello di servizio su nuovi oggetti per impostazione predefinita (anteprima)

Nota

Questa funzionalità è attualmente in anteprima. Questa anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero avere funzionalità limitate. Per ulteriori informazioni, consultare Condizioni aggiuntive per l'utilizzo di Microsoft Azure per le anteprime.

A partire dalla versione 2026-03-01-preview, è possibile configurare una chiave gestita dal cliente a livello di servizi nel servizio Azure AI Search stesso. Questa funzionalità consente di configurare la chiave una sola volta a livello di servizio e di applicarla a tutti gli oggetti appena creati per impostazione predefinita. Ciò garantisce che tutti i dati sensibili nel servizio di ricerca siano protetti da una chiave che si controlla, senza dover specificare le informazioni sulla chiave ogni volta che viene creato un oggetto.

L'abilitazione della Chiave gestita dal cliente (CMK) a livello di servizio significa:

Tutti gli oggetti new creati nel servizio Azure AI Search usano automaticamente la chiave gestita dal cliente a livello di servizio per impostazione predefinita, pertanto non è più necessario specificare in modo esplicito i dettagli della chiave di crittografia ogni volta che si crea un oggetto.
Questa funzionalità è facoltativa ed è possibile continuare a configurare cmk per ogni oggetto. È anche possibile eseguire l'override della chiave a livello di servizio per singoli oggetti e ruotare la chiave a livello di servizio in modo indipendente, consentendo di usare chiavi diverse per oggetti diversi in base alle esigenze.

È anche possibile ruotare questa chiave predefinita specificando una nuova chiave, specifica dell'oggetto che si sta creando. La chiave a livello di oggetto specificata eseguirà l'override della chiave a livello di servizio predefinita per tale oggetto.

Prerequisiti

Azure AI Search in un livello a pagamento (Basic o superiore, in qualsiasi area).
Azure Key Vault e una cassetta delle chiavi con soft-delete e protezione dalla cancellazione abilitato. In alternativa, Azure Key Vault Managed HSM. Questa risorsa può trovarsi in qualsiasi sottoscrizione e in un tenant diverso. Queste istruzioni presuppongono un singolo tenant. Per la configurazione tra tenant, vedere Configurare chiavi gestite dal cliente in tenant diversi.
Possibilità di configurare le autorizzazioni per l'accesso alle chiavi e di assegnare ruoli. Per creare chiavi, è necessario essere Key Vault Crypto Officer in Azure Key Vault o Managed HSM Crypto Officer in Azure Key Vault HSM gestito.

Per assegnare ruoli, è necessario essere Owner, Amministratore accesso utente, Amministratore del controllo di accesso basato sui ruoli o essere assegnati a un ruolo personalizzato con Microsoft.Authorization/roleAssignments/write.

Passaggio 1: Creare una chiave di crittografia

Usare Azure Key Vault o Azure Key Vault HSM gestito per creare una chiave. Azure AI Search crittografia supporta le chiavi RSA di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiave supportati, vedere Informazioni sulle chiavi.

Prima di iniziare, è consigliabile esaminare questi suggerimenti .

Le operazioni necessarie sono Wrap, Unwrap, Encrypt e Decrypt.

Azure Key Vault
Modulo di protezione hardware gestito

È possibile creare un insieme di credenziali usando il portale di Azure, interfaccia della riga di comando di Azure o Azure PowerShell.

Vai al tuo key vault nel portale Azure.
Selezionare Chiavi oggetti>a sinistra e quindi genera/importa.
Nell'elenco Opzioni del riquadro Crea una chiave scegliere Genera per creare una nuova chiave.
Immettere un nome per la chiave e accettare le impostazioni predefinite per altre proprietà della chiave.
Facoltativamente, impostare un criterio di rotazione delle chiavi per abilitare la rotazione automatica.
Selezionare Crea per avviare la distribuzione.
Dopo aver creato la chiave, ottenere il relativo identificatore di chiave. Selezionare la chiave, selezionare la versione corrente e quindi copiare l'identificatore di chiave. È costituito dall'URI del valore della chiave, dal nome della chiave e dalla versione della chiave. È necessario l'identificatore per definire un indice crittografato in Azure AI Search. Tenere presente che le operazioni necessarie sono Wrap, Unwrap, Encrypt e Decrypt.

Passaggio 2: Creare un'entità di sicurezza

Creare un principale di sicurezza che il servizio di ricerca usa per accedere alla chiave di crittografia. È possibile usare un'identità gestita e un'assegnazione di ruolo oppure registrare un'applicazione e fare in modo che il servizio di ricerca fornisca l'ID applicazione alle richieste.

Usare un'identità gestita e assegnazioni di ruoli. È possibile usare un'identità gestita dal sistema o un'identità gestita dall'utente. Un'identità gestita consente al servizio di ricerca di eseguire l'autenticazione tramite Microsoft Entra ID, senza archiviare le credenziali (ApplicationID o ApplicationSecret) nel codice. Il ciclo di vita di questo tipo di identità gestita è associato al ciclo di vita del servizio di ricerca, che può avere un'unica identità gestita assegnata dal sistema. Per ulteriori informazioni sul funzionamento delle identità gestite, vedere Cosa sono le identità gestite per le risorse di Azure.

Abilitare l'identità gestita assegnata dal sistema per il servizio di ricerca. Si tratta di un'operazione con due clic: abilitare e salvare.

Passaggio 3: Concedere le autorizzazioni

Se il servizio di ricerca è stato configurato per l'uso di un'identità gestita, assegnare ruoli che gli consentono di accedere alla chiave di crittografia.

Il controllo degli accessi in base al ruolo è consigliato rispetto al modello di autorizzazioni basato sui criteri di accesso. Per ulteriori informazioni o passaggi di migrazione, inizia con Azure controllo degli accessi in base al ruolo (Azure RBAC) rispetto ai criteri di accesso (legacy).

Vai al tuo key vault nel portale Azure.
Selezionare Controllo di accesso (IAM) e selezionare Aggiungi assegnazione di ruolo.
Selezionare un ruolo:
- In Azure Key Vault, selezionare Utente del servizio di crittografia Key Vault.
- In HSM gestito, selezionare Managed HSM Crypto Service Encryption User (Utente di crittografia del servizio HSM gestito).
Selezionare identità gestite, selezionare membri e quindi selezionare l'identità gestita del servizio di ricerca. Se stai eseguendo il test sul tuo computer locale, assegna questo ruolo anche a te stesso.
Selezionare Rivedi + Assegna.

Attendere alcuni minuti prima che l'assegnazione di ruolo diventi operativa.

Passaggio 4: Aggiungere informazioni sulla chiave di crittografia agli oggetti Azure AI Search

Quando si crea un oggetto crittografato, immettere l'URI dell'insieme di credenziali delle chiavi, il nome della chiave e la versione della chiave. Se si usa un'applicazione Microsoft Entra ID per l'autenticazione, immettere anche l'ID applicazione e il segreto.

È possibile configurare nuovi oggetti di ricerca con una chiave gestita dal cliente a livello di servizio o a livello di oggetto. Quando si configura CMK a livello di servizio, per impostazione predefinita si applica la stessa chiave a tutti gli oggetti appena creati nel servizio, a meno che non si specifichi una chiave a livello di oggetto diversa per eseguire l'override del valore predefinito a livello di servizio.

Specificare la chiave gestita dal cliente nella definizione dell'oggetto quando si crea un oggetto crittografato. Questo oggetto può essere un indice, un indicizzatore, un'origine dati, un set di competenze, un vettore o una mappa sinonimo.

Per configurare CMK in un oggetto, usare il portale di Azure, API REST del servizio Search o un Azure SDK.

Quando si crea un nuovo oggetto nel portale di Azure, è possibile specificare una chiave predefinita gestita dal cliente in un Key Vault. Il portale di Azure consente di abilitare la crittografia con una CMK per:

Indici
Origini dati
Indicizzatori

Per usare il portale di Azure, il Key Vault e la chiave devono esistere ed è necessario completare i passaggi precedenti per l'accesso autorizzato alla chiave.

Nel portale di Azure i set di competenze sono definiti nella visualizzazione JSON. Usare il codice JSON illustrato negli esempi dell'API REST per fornire una chiave gestita dal cliente in un set di competenze.

Passare al servizio di ricerca nel portale Azure.
In Gestione ricerca selezionare Indici, Indicizzatori o Origini dati.
Aggiungere un nuovo oggetto. Nella definizione dell'oggetto, selezionare crittografia gestita da Microsoft.
Selezionare Chiavi gestite dal cliente e scegliere la sottoscrizione, l'insieme di credenziali, la chiave e la versione.

Chiamare le API di creazione per specificare la proprietà encryptionKey :

Inserire il costrutto encryptionKey nella definizione dell'oggetto. Questa proprietà è una proprietà di primo livello, allo stesso livello del nome e della descrizione. Se si sta utilizzando lo stesso vault, la stessa chiave e la stessa versione, è possibile incollare lo stesso costrutto encryptionKey in ogni definizione di oggetto.

Se l'identificatore di chiave è https://contoso-keyvault.vault.azure.net/keys/contoso-cmk/aaaaaaaa-0b0b-1c1c-2d2d-333333333333, l'URI è https://contoso-keyvault.vault.azure.net, il nome della chiave è contoso-cmke la versione è aaaaaaaa-0b0b-1c1c-2d2d-333333333333.

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
    "identity" : { 
        "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
        "userAssignedIdentity" : "/subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>"
    }
  }
}

Il primo esempio mostra una encryptionKey per un servizio di ricerca che si connette usando un'identità gestita:

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>"
  }
}

Il secondo esempio include accessCredentials, necessario se è stata registrata un'applicazione in Microsoft Entra ID:

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
    "accessCredentials": {
      "applicationId": "<YOUR-APPLICATION-ID>",
      "applicationSecret": "<YOUR-APPLICATION-SECRET>"
    }
  }
}

Verificare che la chiave di crittografia esista eseguendo un get sull'oggetto .
Verificare che l'oggetto sia operativo eseguendo un'attività, ad esempio eseguire una query su un indice crittografato.

Dopo aver creato l'oggetto crittografato nel servizio di ricerca, è possibile usarlo come qualsiasi altro oggetto del relativo tipo. La crittografia è trasparente per l'utente e lo sviluppatore.

Nessuno di questi dettagli del key vault è considerato segreto e può essere facilmente recuperato navigando verso la pagina pertinente di Azure Key Vault nel portale di Azure.

Configurazione di CMK sugli oggetti di ricerca è supportata nei pacchetti Azure SDK, tra cui Azure SDK per .NET, Azure SDK per Java, Azure SDK per JavaScript e Azure SDK per Python.

Nell'esempio seguente viene illustrata la rappresentazione Python di un encryptionKey in una definizione di oggetto. La stessa definizione si applica agli indici, alle origini dati, ai set di competenze, agli indicizzatori e alle mappe sinonimiche. Per provare questo esempio nel servizio di ricerca e nella gestione credenziali, scaricare il notebook da azure-search-python-samples.

Installare alcuni pacchetti.

! pip install python-dotenv
! pip install azure-core
! pip install azure-search-documents==11.5.1
! pip install azure-identity

Creare un indice con una chiave di crittografia.

from azure.search.documents.indexes import SearchIndexClient
from azure.search.documents.indexes.models import (
SimpleField,
SearchFieldDataType,
SearchableField,
SearchIndex,
SearchResourceEncryptionKey
)
from azure.identity import DefaultAzureCredential

endpoint="<PUT YOUR AZURE SEARCH SERVICE ENDPOINT HERE>"
credential = DefaultAzureCredential()

index_name = "test-cmk-index"
index_client = SearchIndexClient(endpoint=endpoint, credential=credential)
fields = [
SimpleField(name="Id", type=SearchFieldDataType.String, key=True),
SearchableField(name="Description", type=SearchFieldDataType.String)
]

scoring_profiles = []
suggester = []
encryption_key = SearchResourceEncryptionKey(
key_name="<PUT YOUR KEY VAULT NAME HERE>",
key_version="<PUT YOUR ALPHANUMERIC KEY VERSION HERE>",
vault_uri
)

index = SearchIndex(name=index_name, fields=fields, encryption_key=encryption_key)
result = index_client.create_or_update_index(index)
print(f' {result.name} created')

Ottenere la definizione dell'indice per verificare l'esistenza della configurazione della chiave di crittografia.

index_name = "test-cmk-index-qs"
index_client = SearchIndexClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)  

result = index_client.get_index(index_name)  
print(f"{result}")

Caricare l'indice con alcuni documenti. Tutto il contenuto del campo viene considerato sensibile e crittografato su disco usando la chiave gestita dal cliente.

from azure.search.documents import SearchClient

# Create a documents payload
documents = [
    {
    "@search.action": "upload",
    "Id": "1",
    "Description": "The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities."
    },
    {
    "@search.action": "upload",
    "Id": "2",
    "Description": "The hotel is situated in a  nineteenth century plaza, which has been expanded and renovated to the highest architectural standards to create a modern, functional and first-class hotel in which art and unique historical elements coexist with the most modern comforts."
    },
    {
    "@search.action": "upload",
    "Id": "3",
    "Description": "The hotel stands out for its gastronomic excellence under the management of William Dough, who advises on and oversees all of the Hotel's restaurant services."
    },
    {
    "@search.action": "upload",
    "Id": "4",
    "Description": "The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace."
    }
]

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, index_name=index_name, credential=credential)
try:
    result = search_client.upload_documents(documents=documents)
    print("Upload of new document succeeded: {}".format(result[0].succeeded))
except Exception as ex:
    print (ex.message)

    index_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)

Eseguire una query per verificare che l'indice sia operativo.

from azure.search.documents import SearchClient

query = "historic"  

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential, index_name=index_name)

results = search_client.search(  
    query_type='simple',
    search_text=query, 
    select=["Id", "Description"],
    include_total_count=True
    )

for result in results:  
    print(f"Score: {result['@search.score']}")
    print(f"Id: {result['Id']}")
    print(f"Description: {result['Description']}")

L'output della query dovrebbe produrre risultati simili all'esempio seguente.

Score: 0.6130029
Id: 4
Description: The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace.
Score: 0.26286605
Id: 1
Description: The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities.

Poiché il contenuto crittografato viene decrittografato prima dell'aggiornamento dei dati o delle query, non verranno visualizzate prove visive della crittografia. Per verificare che la crittografia funzioni, controllare i log delle risorse.

Importante

Il contenuto crittografato in Azure AI Search è configurato per l'uso di una chiave specifica con una specifica versione. Se si modifica la chiave o la versione, l'oggetto deve essere aggiornato per usarlo prima di eliminare quello precedente. In caso contrario, l'oggetto non è utilizzabile. Non sarà possibile decrittografare il contenuto se la chiave viene persa.

Configurare CMK a livello del servizio (anteprima)

Per abilitare la configurazione cmk a livello di servizio, è consigliabile usare l'API REST Search Management o un pacchetto Azure SDK aggiornato per supportare l'API REST di gestione della ricerca versione 2026-03-01-preview o successiva. Questa funzionalità non è ancora supportata nel portale di Azure. L'abilitazione della CMK (chiave gestita dal cliente) a livello di servizio non aggiunge la crittografia agli oggetti esistenti. Tuttavia, applica la stessa chiave per impostazione predefinita a tutti i nuovi oggetti creati nel servizio, a meno che non si specifichi una chiave diversa a livello di oggetto per sostituire l'impostazione predefinita a livello di servizio.

Attualmente, il portale di Azure non supporta la crittografia a livello di servizio. Usare direttamente l'API REST.

Per configurare la crittografia con una CMK (chiave gestita dal cliente) a livello di servizio nel tuo servizio di ricerca, utilizza Servizi - Crea o aggiorna insieme a PATCH per aggiornare un servizio di ricerca esistente o PUT per crearne uno nuovo. La versione dell'API deve essere 2026-03-01-preview o successiva per supportare la configurazione a livello di servizio.

In questo esempio, assicurarsi di sostituire {{subscription-id}}, {{resource-group}}, {{search-service}} e {{token}} con l'ID della sottoscrizione, il nome del gruppo di risorse, il nome del servizio di ricerca e il token di accesso, rispettivamente. La definizione della chiave usa lo stesso schema di CMK a livello di oggetto e tutte e tre le opzioni di identità sono supportate (identità gestita assegnata dal sistema, identità gestita assegnata dall'utente o applicazione registrata).

PATCH https://management.azure.com/subscriptions/{{subscription-id}}/resourceGroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service}}?api-version=2026-03-01-preview
Authorization: Bearer {{token}}
Content-Type: application/json

Per informazioni su come inserire il costrutto encryptionKey a livello di servizio per tipi di identità diversi, vedere gli esempi seguenti.

Esempio di uso dell'identità gestita assegnata dal sistema:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
      "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
      "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
      "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>"
    }
  }
}

Esempio di uso dell'identità gestita dall'utente:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
      "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
      "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
      "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
      "identity": {
        "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
        "userAssignedIdentity": "/subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>"
      }
    }
  }
}

Esempio di uso dell'ID applicazione:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
          "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
          "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
          "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
          "accessCredentials": {
                  "applicationId": "<YOUR-APPLICATION-ID>",
                  "applicationSecret": "<YOUR-APPLICATION-SECRET>"
      }       
    }
  }
}

Passaggio 5: Testare la crittografia

Per verificare che la crittografia funzioni, revocare la chiave di crittografia, eseguire una query sull'indice (deve essere inutilizzabile) e quindi ripristinare la chiave di crittografia.

Usare il portale di Azure per questa attività. Assicurati di avere un'assegnazione di ruolo che conceda l'accesso in lettura alla chiave.

Nella pagina Azure Key Vault selezionare Objects>Keys.
Selezionare la chiave creata e quindi selezionare Elimina.
Nella pagina Azure AI Search selezionare Gestione ricerca>Indexes.
Selezionare l'indice e usare Esplora ricerche per eseguire una query. Verrà visualizzato un errore.
Tornare alla pagina Azure Key Vault Objects>Keys.
Selezionare Gestisci chiavi eliminate.
Selezionare la chiave e quindi selezionare Ripristina.
Torna al tuo indice in Azure AI Search ed esegui nuovamente la query. Verranno visualizzati i risultati della ricerca. Se non vengono visualizzati risultati immediati, attendere un minuto e riprovare.

Impostare una politica per garantire la conformità CMK (chiave gestita dal cliente)

Azure criteri consentono di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. Azure AI Search ha due criteri predefiniti facoltativi correlati alla CMK (chiave gestita dal cliente). Questi criteri si applicano ai servizi di ricerca nuovi ed esistenti.

Effetto Descrizione

AuditIfNotExists Verifica la conformità dei criteri: gli oggetti hanno una chiave gestita dal cliente definita ed è il contenuto crittografato. Questo effetto si applica ai servizi esistenti con contenuto. Viene valutato ogni volta che un oggetto viene creato o aggiornato o in base alla pianificazione della valutazione. Ulteriori informazioni...

Nega Verifica dell'applicazione dei criteri: il servizio di ricerca ha SearchEncryptionWithCmk impostato su Enabled. Questo effetto si applica solo ai nuovi servizi, che devono essere creati con la crittografia abilitata. I servizi esistenti rimangono operativi, ma non è possibile aggiornarli a meno che non si applicano patch al servizio. Nessuno degli strumenti usati per il provisioning dei servizi espone questa proprietà, quindi tenere presente che l'impostazione dei criteri limita la configurazione a livello di codice.

Effetto	Descrizione
AuditIfNotExists	Verifica la conformità dei criteri: gli oggetti hanno una chiave gestita dal cliente definita ed è il contenuto crittografato. Questo effetto si applica ai servizi esistenti con contenuto. Viene valutato ogni volta che un oggetto viene creato o aggiornato o in base alla pianificazione della valutazione. Ulteriori informazioni...
Nega	Verifica dell'applicazione dei criteri: il servizio di ricerca ha SearchEncryptionWithCmk impostato su `Enabled`. Questo effetto si applica solo ai nuovi servizi, che devono essere creati con la crittografia abilitata. I servizi esistenti rimangono operativi, ma non è possibile aggiornarli a meno che non si applicano patch al servizio. Nessuno degli strumenti usati per il provisioning dei servizi espone questa proprietà, quindi tenere presente che l'impostazione dei criteri limita la configurazione a livello di codice.

Assegnare una politica

Nel portale di Azure passare a un criterio predefinito e quindi selezionare Assign.
- AuditIfExists
- Rifiuta
Di seguito è riportato un esempio del criterio AuditIfExists nel portale di Azure:
Impostare l'ambito dei criteri selezionando la sottoscrizione e il gruppo di risorse. Escludere tutti i servizi di ricerca per i quali i criteri non devono essere applicati.
Accettare o modificare i valori predefiniti. Selezionare Rivedi e crea e quindi crea.

Abilitare l'applicazione dei criteri CMK

Quando si assegna un criterio a un gruppo di risorse nella sottoscrizione, esso entra in vigore immediatamente. I criteri di controllo contrassegnano le risorse non conformi, ma i criteri di negazione impediscono la creazione e l'aggiornamento di servizi di ricerca non conformi. Questa sezione illustra come creare un servizio di ricerca conforme o aggiornare un servizio per renderlo conforme. Per rendere gli oggetti conformi, iniziare al passaggio uno di questo articolo.

Creare un servizio di ricerca conforme

Per i nuovi servizi di ricerca, crearli con SearchEncryptionWithCmk impostato su Enabled.

Né il portale di Azure né gli strumenti da riga di comando (interfaccia della riga di comando di Azure e Azure PowerShell) forniscono questa proprietà in modo nativo, ma è possibile usare API RESTManagement per effettuare il provisioning di un servizio di ricerca con una definizione di criteri cmk.

API REST di gestione

Questo esempio proviene da Gestire il servizio di Azure AI Search con LE API REST, modificato per includere la proprietà SearchEncryptionWithCmk.

### Create a search service (provide an existing resource group)
@resource-group = my-rg
@search-service-name = my-search
PUT https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2025-05-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}

    {
        "location": "North Central US",
        "sku": {
            "name": "basic"
        },
        "properties": {
            "replicaCount": 1,
            "partitionCount": 1,
            "hostingMode": "default",
            "encryptionWithCmk": {
                "enforcement": "Enabled"
        }
      }
    }

Aggiornare un servizio di ricerca esistente

Per i servizi di ricerca esistenti non conformi, applicare patch usando Services - Update API o il comando interfaccia della riga di comando di Azure az resource update. L'applicazione di patch ai servizi ripristina la possibilità di aggiornare le proprietà del servizio di ricerca.

API REST di gestione
interfaccia della riga di comando di Azure

PATCH https://management.azure.com/subscriptions/<your-subscription-Id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.Search/searchServices/<your-search-service-name>?api-version=2025-05-01

{
  "properties": {
      "encryptionWithCmk": {
          "enforcement": "Enabled"
      }
  }
}

Eseguire il comando seguente, sostituendo i valori validi per il servizio di ricerca e il gruppo di risorse.

az resource update --name SEARCH-SERVICE-PLACEHOLDER --resource-group RESOURCE-GROUP-PLACEHOLDER --resource-type searchServices --namespace Microsoft.Search --set properties.encryptionWithCmk.enforcement=Enabled

La risposta deve includere la dichiarazione seguente:

"encryptionWithCmk": {
      "encryptionComplianceStatus": "NonCompliant",
      "enforcement": "Enabled"
    }
...

"Non conforme" indica che il servizio di ricerca dispone di oggetti esistenti che non sono crittografati tramite cmk. Per ottenere la conformità, ricreare ogni oggetto, specificando una chiave di crittografia.

Ruotare o aggiornare le chiavi di crittografia

Usare le istruzioni seguenti per ruotare le chiavi o eseguire la migrazione da Azure Key Vault al modello di protezione hardware.

Per la rotazione delle chiavi, usare le funzionalità di autorotation di Azure Key Vault. Se si usa l'autorotazione, omettere la versione della chiave nelle definizioni degli oggetti. Viene usata la chiave più recente anziché una versione specifica.

Quando si modifica una chiave o la relativa versione, aggiornare qualsiasi oggetto che usa la chiave per usare i nuovi valori prima di eliminare i valori precedenti. In caso contrario, l'oggetto diventa inutilizzabile perché non può essere decrittografato.

Se hai configurato la CMK a livello di servizio, la rotazione della chiave si applicherà agli oggetti creati in futuro. Gli oggetti che hanno già ereditato la chiave precedente a livello di servizio prelevano automaticamente la nuova chiave, quindi non è necessario aggiornarli. Tuttavia, se si dispone di oggetti configurati con una chiave a livello di oggetto che si vuole ruotare, è necessario aggiornare tali oggetti per usare la nuova chiave.

Le chiavi vengono memorizzate nella cache per 60 minuti. Ricorda questo quando testi e ruoti le chiavi.

Determinare la chiave usata da una mappa di indice o sinonimo.
Creare una nuova chiave nel key vault, ma lasciare disponibile la chiave originale. In questo passaggio è possibile passare dal Key Vault all'HSM (Hardware Security Module).
Aggiornare le proprietà di encryptionKey in una mappa di indice o di sinonimi per usare i nuovi valori. Solo gli oggetti creati originariamente con questa proprietà possono essere aggiornati per utilizzare un valore diverso.
Disabilitare o eliminare la chiave precedente nel Key Vault. Monitorare l'accesso alla chiave per verificare che venga usata la nuova chiave.

Per motivi di prestazioni, il servizio di ricerca memorizza nella cache la chiave per un massimo di diverse ore. Se si disabilita o si elimina la chiave senza specificarne una nuova, le query continuano a funzionare in modo temporaneo fino alla scadenza della cache. Tuttavia, una volta che il servizio di ricerca non è più in grado di decrittografare il contenuto, viene visualizzato questo messaggio: "Access forbidden. The query key used might have been revoked - please retry."

Suggerimenti Key Vault

Se non si ha familiarità con Azure Key Vault, vedere questa guida introduttiva per informazioni sulle attività di base: Set e recuperare un segreto da Azure Key Vault usando PowerShell.
Usare quanti archivi chiave sono necessari. Le chiavi gestite possono trovarsi in archivi di chiavi diversi. Un servizio di ricerca può avere più oggetti crittografati, ognuno crittografato con una chiave di crittografia gestita dal cliente diversa, archiviata in insiemi di credenziali delle chiavi diversi.
Usare lo stesso tenant Azure tenant in modo da poter recuperare la chiave gestita tramite assegnazioni di ruolo e connettendosi tramite un sistema o un'identità gestita dall'utente. Per altre informazioni sulla creazione di un tenant, vedere Configurare un nuovo tenant.
Abilitare la protezione dall'eliminazione e l'eliminazione temporanea in un insieme di credenziali delle chiavi. A causa della natura della crittografia con chiavi gestite dal cliente, nessuno può recuperare i dati se la chiave Azure Key Vault viene eliminata. Per evitare la perdita di dati causata da eliminazioni accidentali di chiavi di Key Vault, è necessario abilitare la protezione da eliminazione temporanea e protezione dalla cancellazione definitiva nel Key Vault. L'eliminazione temporanea è abilitata per impostazione predefinita, quindi si verificano problemi solo se lo si disabilita intenzionalmente. La protezione dall'eliminazione non è abilitata per impostazione predefinita, ma è necessaria per la crittografia con una chiave gestita dal cliente in Azure AI Search.
Abilitare la registrazione nell'insieme di credenziali delle chiavi in modo da poter monitorare l'utilizzo delle chiavi.
Abilitare l'autorotazione delle chiavi o seguire procedure rigorose durante la rotazione di routine delle chiavi del Key Vault, dei segreti e della registrazione delle applicazioni. Aggiornare sempre tutto il contenuto crittografato per usare nuovi segreti e chiavi prima di eliminarli. Se non si verifica questo passaggio, il contenuto non può essere decrittografato.

Usare il contenuto crittografato

Usando CMK (chiave gestita dal cliente), potresti notare latenza sia per l'indicizzazione che per le query a causa del lavoro aggiuntivo di crittografia/decrittografia. Azure AI Search non registra l'attività di crittografia, ma è possibile monitorare l'accesso alle chiavi tramite la registrazione del Key Vault.

È consigliabile abilitare il logging come parte della configurazione del Key Vault.

Creare un'area di lavoro Log Analytics.
Aggiungere una configurazione diagnostica in Key Vault che utilizza il workspace per la conservazione dei dati.
Selezionare audit o allLogs per la categoria, assegnare un nome all'impostazione di diagnostica e quindi salvarlo.

Passaggi successivi

Se non si ha familiarità con l'architettura di sicurezza di Azure, consultare la documentazione di Azure sulla sicurezza e in particolare questo articolo:

Crittografia dei dati a riposo

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-12