Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Язык автоматически шифрует данные при сохранении в облаке. Шифрование языка защищает данные и помогает выполнять обязательства организации по обеспечению безопасности и соответствия требованиям.
Шифрование Foundry Tools
Данные шифруются и расшифровываются с помощью FIPS 140-2совместимых с 256-разрядным AES шифрованием. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.
Об управлении ключами шифрования
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Есть также возможность управлять подпиской с собственными ключами, называемыми ключами, управляемыми клиентом (CMK). Ключи, управляемые клиентом, обеспечивают большую гибкость при создании, смене, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.
Управляемые клиентом ключи с использованием Azure Key Vault
Есть также возможность управлять подпиской с помощью собственных ключей. Ключи, управляемые клиентом (CMK), которые также называются ключами BYOK, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.
Для их хранения используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс Microsoft Foundry и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.
Активация управляемых клиентом ключей
Новый ресурс Foundry всегда шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Во время создания ресурса невозможно включить ключи, управляемые клиентом. Управляемые клиентом ключи хранятся в Azure Key Vault. Хранилище ключей должно быть подготовлено в соответствии с политиками доступа, которые предоставляют разрешения на ключи управляемому удостоверению, связанному с ресурсом Foundry. Управляемое удостоверение доступно только после создания ресурса с использованием ценовой категории для CMK.
Чтобы узнать, как использовать ключи, управляемые клиентом, с шифрованием Azure Key Vault для Foundry Tools, см. статью.
Включение ключей, управляемых клиентом, также активирует системно назначенную управляемую идентичность, функцию Microsoft Entra ID. После включения системного управляемого удостоверения данный ресурс регистрируется в Microsoft Entra ID. После регистрации управляемая идентичность получает доступ к Хранилищу ключей (Key Vault), выбранному во время настройки ключа, управляемого клиентом. Можно узнать дополнительные сведения об управляемых удостоверениях.
Внимание
При отключении назначенных системой управляемых удостоверений доступ к хранилищу ключей удаляется и все данные, зашифрованные с помощью ключей клиента, больше не доступны. Все функции, зависящие от этих данных, перестают работать.
Внимание
Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение назначается автоматически. При перемещении подписки, группы ресурсов или ресурса в другой каталог Microsoft Entra управляемое удостоверение не передается новому клиенту. Таким образом, управляемые клиентом ключи больше не работают. Дополнительные сведения см. в статье "Передача подписки между каталогами Microsoft Entra в часто задаваемых вопросых и известных проблемах с управляемыми удостоверениями для ресурсов Azure".
Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault
Чтобы включить ключи, управляемые клиентом, необходимо использовать хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Обратимое удаление и Не очищать.
Только ключи размером 2048 поддерживаются шифрованием с использованием инструментов Foundry. Дополнительные сведения о ключах см. в разделе "Ключи Key Vault " в разделе "Сведения о ключах, секретах и сертификатах Azure Key Vault".
Циклическая смена управляемых клиентом ключей
Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. При смене ключа необходимо обновить ресурс Foundry, чтобы использовать новый URI ключа. Чтобы узнать, как обновить ресурс для использования новой версии ключа на портале Azure, см. раздел " Обновление версии ключа " в разделе "Настройка управляемых клиентом ключей для средств Foundry" с помощью портала Azure.
При циклической смене ключа не запускается повторное шифрование данных ресурса. Никаких дополнительных действий от пользователя не требуется.
Отзыв доступа к управляемым клиентом ключам
Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа фактически блокирует доступ ко всем данным в ресурсе Foundry, так как ключ шифрования недоступен средствами Foundry.