Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Переводчик автоматически шифрует отправленные в облако данные для удовлетворения целей безопасности организации и соответствия требованиям.
Шифрование служб ИИ Azure
Данные шифруются и расшифровываются с помощью FIPS 140-2 совместимых с 256-разрядным AES шифрованием. Шифрование и расшифровка прозрачны. Это означает, что шифрованием и доступом управляют за вас. Данные безопасны по умолчанию, и вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.
Управление ключом шифрования
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Если вы используете ценовую категорию, которая поддерживает ключи, управляемые клиентом, вы можете просмотреть параметры шифрования ресурса в разделе шифрования портал Azure, как показано на следующем рисунке.
Для подписок, поддерживающих только ключи шифрования, управляемые корпорацией Майкрософт, нет раздела шифрования .
Управляемые клиентом ключи с использованием Azure Key Vault
По умолчанию в подписке используются ключи шифрования, управляемые корпорацией Майкрософт. Есть также возможность управлять подпиской с собственными ключами, называемыми ключами, управляемыми клиентом (CMK). CMK предлагает большую гибкость в создании, вращении, отключении и отзыве элементов управления доступом. Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных. Если ключ, управляемый клиентом, настраивается для вашей подписки, а также выполняется двойное шифрование и предоставляется второй уровень защиты, это позволяет вам управлять ключом шифрования с помощью вашего собственного хранилища Azure Key Vault.
Чтобы включить ключи CMK для Переводчика, выполните следующие действия.
- Создайте новый региональный ресурс Translator или региональный ресурс Azure AI Foundry. Управляемые клиентом ключи не будут работать с глобальным ресурсом.
- Включите управляемое удостоверение на портале Azure и добавьте сведения о ключе CMK.
- Создайте новую рабочую область в пользовательском Переводчике и свяжите эту информацию о подписке.
Активация управляемых клиентом ключей
Вы должны использовать Azure Key Vault для хранения ключей, управляемых клиентом. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать API-интерфейсы Azure Key Vault для их генерации. Ресурс Azure AI Foundry и хранилище ключей должны находиться в одном регионе и в одном клиенте Microsoft Entra, но они могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.
Новый ресурс Azure AI Foundry всегда шифруется с помощью ключей, управляемых Корпорацией Майкрософт. Во время создания ресурса невозможно включить ключи, управляемые клиентом. Управляемые клиентом ключи хранятся в Azure Key Vault. Хранилище ключей должно быть подготовлено с помощью политик доступа, которые предоставляют разрешения на ключи управляемой идентификации, связанной с ресурсом Azure AI Foundry. Управляемое удостоверение доступно непосредственно после создания ресурса.
Сведения об использовании ключей, управляемых клиентом, с помощью Azure Key Vault для шифрования служб ИИ Azure см. в статье:
Включение ключей, управляемых клиентом, также включает управляемое удостоверение, назначенное системой, функцию идентификатора Microsoft Entra. После включения управляемого удостоверения, назначаемого системой, этот ресурс регистрируется в идентификаторе Microsoft Entra. После регистрации управляемому удостоверению будет предоставлен доступ к хранилищу ключей, выбранному во время настройки клиентского ключа. Вы можете узнать подробнее об управляемых удостоверениях.
Это важно
При отключении назначенных системой управляемых удостоверений доступ к хранилищу ключей удаляется и все данные, зашифрованные с помощью ключей клиента, больше не будут доступны. Все функции, зависящие от этих данных, перестают работать. Все развернутые модели также не будут развернуты. Все отправленные данные удаляются из Пользовательского переводчика. Если управляемые удостоверения снова включены, мы не автоматически развертываем модель.
Это важно
Сейчас управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами. При настройке управляемых пользователем ключей на портале Azure управляемое удостоверение автоматически назначается за кулисами. Управляемые удостоверения и ключи, управляемые клиентом, не передаются при перемещении подписки, группы ресурсов или ресурса из одного каталога Microsoft Entra в другой. Дополнительные сведения см. в Передаче подписки между каталогами Microsoft Entra в часто задаваемых вопросах и известных проблемах с управляемыми удостоверениями для ресурсов Azure.
Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault
Чтобы включить ключи, управляемые клиентом, необходимо использовать хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Мягкое удаление и Не удалять безвозвратно.
Только RSA ключи размера 2048 поддерживаются с шифрованием служб ИИ Azure. Дополнительные сведения о ключах в Key Vault см. в разделе О ключах, секретах и сертификатах в Azure Key Vault.
Замечание
Если все хранилище ключей удаляется, данные больше не отображаются, и все модели не будут развернуты. Все отправленные данные удаляются из Пользовательского переводчика.
Отзыв доступа к управляемым клиентом ключам
Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа эффективно блокирует доступ ко всем данным в ресурсе Azure AI Foundry, и ваши модели будут отключены, так как ключ шифрования недоступен для служб Azure AI. Все отправленные данные также удаляются из Azure AI Custom Translator.