Cifrado de datos en reposo

Este contenido se aplica a:marca de verificaciónv4.0 (GA)marca de verificaciónv3.1 (GA)marca de verificación rojav3.0 (en retirada)marca de verificación rojav2.1 (en retirada)

Importante

  • Las versiones anteriores de claves administradas por el cliente (CMK) solo cifraban los modelos.
  • A partir de la 07/31/2023 versión, todos los recursos nuevos usan claves administradas por el cliente para cifrar los modelos y los resultados del documento.
  • Elimine la respuesta de análisis. analyze response se almacena durante 24 horas desde que se completa la operación para su recuperación. En escenarios en los que desea eliminar la respuesta antes, use la API de análisis de eliminación de respuesta para eliminar la respuesta.
  • Para actualizar un servicio existente para cifrar los modelos y los datos, deshabilite y vuelva a habilitar la clave administrada por el cliente.

Azure Document Intelligence en Foundry Tools cifra automáticamente tus datos cuando se almacenan en la nube. El cifrado de Document Intelligence protege los datos para ayudarle a cumplir los compromisos de seguridad y cumplimiento de la organización.

Acerca del cifrado de las herramientas de Foundry

Los datos se cifran y descifran mediante el cifrado AES de 256 bits compatible con FIPS 140-2. El cifrado y el descifrado son transparentes, lo que significa que el cifrado y el acceso se administran por usted. Los datos son seguros de forma predeterminada. No es necesario modificar el código o las aplicaciones para aprovechar el cifrado.

Acerca de la administración de claves de cifrado

De forma predeterminada, la suscripción usa claves de cifrado administradas Microsoft. También puede administrar la suscripción con sus propias claves, que se denominan claves administradas por el cliente. Al usar claves administradas por el cliente, tiene mayor flexibilidad en la forma de crear, rotar, deshabilitar y revocar controles de acceso. También puede auditar las claves de cifrado que usa para proteger los datos. Si las claves administradas por el cliente están configuradas para la suscripción, se proporciona el cifrado doble. Con esta segunda capa de protección, puede controlar la clave de cifrado a través de la Azure Key Vault.

Importante

  • Las claves administradas por el cliente están disponibles solo para los recursos creados después del 11 de mayo de 2020. Para usar claves administradas por el cliente con Document Intelligence, debe crear un nuevo recurso de Document Intelligence. Una vez creado el recurso, puede usar Azure Key Vault para configurar la identidad administrada.
  • El ámbito de los datos cifrados con claves administradas por el cliente incluye el analysis response almacenado durante 24 horas, lo que permite recuperar los resultados de la operación durante ese período de 24 horas.

Claves administradas por el cliente con Azure Key Vault

Al usar claves administradas por el cliente, debe usar Azure Key Vault para almacenarlas. Puede crear sus propias claves y almacenarlas en una key vault, o bien puede usar las API de Key Vault para generar claves. El recurso de Foundry Tools y el almacén de claves deben estar en la misma región y en el mismo inquilino de Microsoft Entra, pero pueden estar en distintas suscripciones. Para obtener más información sobre Key Vault, consulte ¿Qué es Azure Key Vault?.

Al crear un nuevo recurso de Foundry Tools, siempre se cifra mediante claves administradas por Microsoft. No es posible habilitar claves administradas por el cliente al crear el recurso. Las claves administradas por el cliente se almacenan en Key Vault. El almacén de claves debe aprovisionarse con directivas de acceso que concedan permisos de clave a la identidad administrada asociada al recurso Foundry Tools. La identidad administrada solo está disponible después de que el recurso se crea utilizando el nivel de precios necesario para las claves administradas por el cliente.

La habilitación de claves administradas por el cliente también habilita una identidad administrada asignada por el sistema, una característica de Microsoft Entra ID. Una vez habilitada la identidad administrada asignada por el sistema, este recurso se registra con Microsoft Entra ID. Después de que la identidad administrada se haya registrado, se le concede acceso a la bóveda de claves seleccionada durante la configuración de claves administradas por el cliente.

Importante

Si deshabilita las identidades administradas asignadas por el sistema, el acceso al almacén de claves se quita y los datos cifrados con las claves de cliente ya no son accesibles. Las características que dependen de estos datos dejan de funcionar.

Importante

Actualmente, las identidades administradas no admiten escenarios entre directorios. Al configurar claves administradas por el cliente en el portal de Azure, se asigna automáticamente una identidad administrada en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el recurso de un directorio de Microsoft Entra a otro, la identidad administrada asociada al recurso no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente ya no funcionen. Para obtener más información, consulte Transferir una suscripción entre directorios de Microsoft Entra en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

Configuración de Key Vault

Al usar claves administradas por el cliente, debe establecer dos propiedades en el almacén de claves, eliminación temporal y No purgar. Estas propiedades no están habilitadas de forma predeterminada, pero puede habilitarlas en un almacén de claves nuevo o existente mediante el portal de Azure, PowerShell o CLI de Azure.

Importante

Si las propiedades Eliminación temporal y No purga no están habilitadas y elimina la clave, no podrá recuperar los datos en el recurso de Foundry Tools.

Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de recuperación de Azure Key Vault con eliminación temporal y protección contra purga.

Habilitación de claves administradas por el cliente para el recurso

Para habilitar las claves administradas por el cliente en el portal de Azure, siga estos pasos:

  1. Vaya al recurso Foundry Tools.

  2. A la izquierda, seleccione Cifrado.

  3. En Tipo de cifrado, seleccione Claves administradas por el cliente, como se muestra en la captura de pantalla siguiente.

    Captura de pantalla de la página Configuración de cifrado de un recurso Foundry. En Tipo de cifrado, se selecciona la opción Claves administradas por el cliente.

Especificar una clave

Después de habilitar las claves administradas por el cliente, puede especificar una clave para asociarla con el recurso Foundry Tools.

Especificar una clave como un URI

Para especificar una clave como un URI, siga estos pasos:

  1. En el portal de Azure, vaya al almacén de claves.

  2. En Configuración, seleccione Claves.

  3. Seleccione la clave deseada y, a continuación, seleccione la clave para ver sus versiones. Seleccione una versión de clave para ver la configuración de esa versión.

  4. Copie el valor del identificador de clave , que proporciona el URI.

    Captura de pantalla de la página del portal de Azure para una versión de clave. El cuadro Identificador de clave contiene un marcador de posición para una clave URI.

  5. Vuelva al recurso de herramientas de Foundry y luego seleccione Cifrado.

  6. En Clave de cifrado, seleccione Entrar URI de clave.

  7. Pegue el URI que copió en el cuadro URI de clave .

    Captura de pantalla de la página Cifrado de un recurso Foundry. La opción Entrar URI de clave está seleccionada y el cuadro URI de clave contiene un valor.

  8. En Suscripción, seleccione la suscripción que contiene el almacén de claves.

  9. Guarde los cambios.

Especifique una clave de un almacén de claves

Para especificar una clave de un almacén de claves, primero asegúrese de que tiene un almacén de claves que contiene una clave. A continuación, siga estos pasos:

  1. Vaya al recurso de herramientas Foundry y, a continuación, seleccione Cifrado.

  2. En Encryption key, seleccione Seleccionar desde Key Vault.

  3. Seleccione el almacén de claves que contiene la clave que desea usar.

  4. Seleccione la clave que desea usar.

    Captura de pantalla de la página Seleccionar clave de Azure Key Vault en el portal de Azure. Los cuadros Suscripción, Almacén de claves, Clave y Versión contienen valores.

  5. Guarde los cambios.

Actualizar la versión de la clave

Al crear una nueva versión de una clave, actualice el recurso Foundry Tools para usar la nueva versión. Siga estos pasos:

  1. Vaya al recurso de Herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Escriba el URI de la nueva versión de clave. Como alternativa, puede seleccionar el almacén de claves y, a continuación, volver a seleccionar la clave para actualizar la versión.
  3. Guarde los cambios.

Usar una clave diferente

Para cambiar la clave que usa para el cifrado, siga estos pasos:

  1. Ir a su recurso Herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Escriba el URI de la nueva clave. Como alternativa, puede seleccionar el almacén de claves y, a continuación, seleccionar una nueva clave.
  3. Guarde los cambios.

Rotación de claves administradas por el cliente

Puede rotar una clave administrada por el cliente en Key Vault según las directivas de cumplimiento. Cuando se gira la clave, debe actualizar el recurso Foundry Tools para usar el nuevo URI de clave. Para obtener información sobre cómo actualizar el recurso para usar una nueva versión de la clave en el portal de Azure, consulte Actualizar la versión de la clave.

La rotación de la clave no desencadena el nuevo cifrado de datos en el recurso. No se requiere ninguna otra acción del usuario.

Revocar el acceso a claves administradas por el cliente

Para revocar el acceso a claves administradas por el cliente, use PowerShell o CLI de Azure. Para obtener más información, consulte Azure Key Vault PowerShell o Azure Key Vault CLI. Revocar el acceso bloquea eficazmente el acceso a todos los datos del recurso de Foundry Tools, ya que las herramientas de Foundry no pueden acceder a la clave de cifrado.

Deshabilitación de claves administradas por el cliente

Al deshabilitar las claves administradas por el cliente, el recurso de Foundry Tools se cifra con claves administradas por Microsoft. Para deshabilitar las claves administradas por el cliente, siga estos pasos:

  1. Ir a su recurso Herramientas de Foundry y, a continuación, seleccione Cifrado.
  2. Desactive la casilla situada junto a Usar su propia clave.

Pasos siguientes

  • Last updated on