Chiffrer les données au repos

Ce contenu s’applique à :checkmarkv4.0 (GA)checkmarkv3.1 (GA)red-checkmarkv3.0 (retrait)red-checkmarkv2.1 (mise hors service)

Important

  • Les versions antérieures des clés gérées par le client (CMK) n’ont chiffré que vos modèles.
  • À compter de la 07/31/2023 version, toutes les nouvelles ressources utilisent des clés gérées par le client pour chiffrer les modèles et les résultats du document.
  • Supprimer la réponse d’analyse. L'objet analyze response est stocké pendant 24 heures après la fin de l’opération pour permettre sa récupération. Pour les scénarios où vous souhaitez supprimer la réponse plus tôt, utilisez l’API d’analyse de suppression pour supprimer la réponse.
  • Pour mettre à niveau un service existant pour chiffrer les modèles et les données, désactivez et réenablez la clé gérée par le client.

Azure Document Intelligence dans Foundry Tools chiffre automatiquement vos données lors de leur conservation dans le cloud. Le chiffrement Document Intelligence protège vos données pour vous aider à respecter vos engagements en matière de sécurité et de conformité de votre organisation.

À propos du chiffrement des outils Foundry

Les données sont chiffrées et déchiffrées à l’aide du chiffrement AES compatible 256 bitsFIPS 140-2. Le chiffrement et le déchiffrement sont transparents, ce qui signifie que le chiffrement et l’accès sont gérés pour vous. Vos données sont sécurisées par défaut. Vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement.

À propos de la gestion des clés de chiffrement

Par défaut, votre abonnement utilise des clés de chiffrement gérées par Microsoft. Vous pouvez également gérer votre abonnement avec vos propres clés, qui sont appelées clés gérées par le client. Lorsque vous utilisez des clés gérées par le client, vous disposez d’une plus grande flexibilité pour créer, faire pivoter, désactiver et révoquer des contrôles d’accès. Vous pouvez également auditer les clés de chiffrement que vous utilisez pour protéger vos données. Si les clés gérées par le client sont configurées pour votre abonnement, le double chiffrement est fourni. Avec cette deuxième couche de protection, vous pouvez contrôler la clé de chiffrement via votre Azure Key Vault.

Important

  • Les clés gérées par le client sont uniquement des ressources disponibles créées après le 11 mai 2020. Pour utiliser des clés gérées par le client avec Document Intelligence, vous devez créer une ressource Document Intelligence. Une fois la ressource créée, vous pouvez utiliser Azure Key Vault pour configurer votre identité managée.
  • L’étendue des données chiffrées avec des clés gérées par le client inclut le analysis response stockage pendant 24 heures, ce qui permet de récupérer les résultats de l’opération pendant cette période de 24 heures.

Clés gérées par le client avec Azure Key Vault

Lorsque vous utilisez des clés gérées par le client, vous devez utiliser Azure Key Vault pour les stocker. Vous pouvez créer vos propres clés et les stocker dans un key vault, ou vous pouvez utiliser les API Key Vault pour générer des clés. La ressource Foundry Tools et le coffre de clés doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans différents abonnements. Pour plus d’informations sur Key Vault, consultez Qu’est-ce que Azure Key Vault ?.

Lorsque vous créez une ressource Foundry Tools, elle est toujours chiffrée à l'aide de clés gérées par Microsoft. Il n’est pas possible d’activer les clés gérées par le client lorsque vous créez la ressource. Les clés gérées par le client sont stockées dans Key Vault. Le coffre de clés doit être approvisionné avec des stratégies d’accès qui accordent des autorisations de clé à l’identité managée associée à la ressource Foundry Tools. L’identité managée est disponible uniquement une fois la ressource créée à l’aide du niveau tarifaire requis pour les clés gérées par le client.

L’activation des clés gérées par le client permet également une identité affectée par le système identité managée, une fonctionnalité de Microsoft Entra ID. Une fois l’identité managée affectée par le système activée, cette ressource est inscrite auprès de Microsoft Entra ID. Une fois inscrite, l’identité managée est autorisée à accéder au coffre de clés sélectionné lors de la configuration de la clé gérée par le client.

Important

Si vous désactivez les identités managées affectées par le système, l’accès au coffre de clés est supprimé et toutes les données chiffrées avec les clés client ne sont plus accessibles. Toutes les fonctionnalités qui dépendent de ces données arrêtent de fonctionner.

Important

Les identités gérées ne prennent actuellement pas en charge les scénarios inter-répertoires. Lorsque vous configurez des clés gérées par le client dans le portail Azure, une identité managée est automatiquement affectée en arrière-plan. Si vous déplacez par la suite l'abonnement, le groupe de ressources ou la ressource d'un répertoire Microsoft Entra vers un autre, l'identité managée associée à la ressource n'est pas transférée vers le nouveau locataire, de sorte que les clés gérées par le client peuvent ne plus fonctionner. Pour plus d'informations, consultez Transférer un abonnement entre les annuaires Microsoft Entra dans FAQ et problèmes connus avec les identités gérées pour les ressources Azure.

Configurer Key Vault

Lorsque vous utilisez des clés gérées par le client, vous devez définir deux propriétés dans le coffre de clés, Suppression Douce et Ne Pas Purger. Ces propriétés ne sont pas activées par défaut, mais vous pouvez les activer sur un coffre de clés nouveau ou existant à l'aide du portail Azure, de PowerShell ou de Azure CLI.

Important

Si les propriétés Suppression réversible et Ne pas vider ne sont pas activées et que vous supprimez votre clé, vous ne pouvez pas récupérer les données dans votre ressource Foundry Tools.

Pour savoir comment activer ces propriétés sur un coffre de clés existant, consultez Gestion de la récupération Azure Key Vault avec suppression réversible et protection contre la purge.

Activer les clés gérées par le client pour votre ressource

Pour activer les clés gérées par le client dans le portail Azure, procédez comme suit :

  1. Accédez à votre ressource Foundry Tools.

  2. Sur la gauche, sélectionnez Chiffrement.

  3. Sous Type de chiffrement, sélectionnez Clés gérées par le client, comme illustré dans la capture d’écran suivante.

    Capture d’écran de la page Paramètres de chiffrement d’une ressource Foundry. Sous Type de chiffrement, l’option Clés gérées par le client est sélectionnée.

Spécifier une clé

Après avoir activé les clés gérées par le client, vous pouvez spécifier une clé à associer à la ressource Foundry Tools.

Spécifier une clé en tant qu’URI

Pour spécifier une clé en tant qu’URI, procédez comme suit :

  1. Dans le portail Azure, accédez à votre coffre de clés.

  2. Sous Paramètres, sélectionnez Clés.

  3. Sélectionnez la clé souhaitée, puis sélectionnez la clé pour afficher ses versions. Sélectionnez une version de clé pour afficher les paramètres de cette version.

  4. Copiez la valeur d’identificateur de clé , qui fournit l’URI.

    Capture d'écran de la page du portail Azure pour une version de clé. La zone Identificateur de clé contient un espace réservé pour un URI de clé.

  5. Revenez à votre ressource Foundry Tools, puis sélectionnez Chiffrement.

  6. Sous Clé de chiffrement, sélectionnez Entrer l’URI de clé.

  7. Collez l’URI que vous avez copié dans la zone URI de clé .

    Capture d’écran de la page Chiffrement d’une ressource Foundry. L’option Entrée de l’URI de clé est sélectionnée et la zone URI de clé contient une valeur.

  8. Sous Abonnement, sélectionnez l’abonnement qui contient le coffre de clés.

  9. Enregistrez vos modifications.

Spécifier une clé à partir d’un coffre de clés

Pour spécifier une clé à partir d’un coffre de clés, vérifiez d’abord que vous disposez d’un coffre de clés qui contient une clé. Procédez ensuite comme suit :

  1. Accédez à votre ressource Outils de fonderie, puis sélectionnez Chiffrement.

  2. Sous Encryption key, sélectionnez Select from Key Vault.

  3. Sélectionnez le coffre de clés qui contient la clé que vous souhaitez utiliser.

  4. Sélectionnez la clé que vous souhaitez utiliser.

    Capture d'écran de l'option Sélectionner depuis la page Azure Key Vault dans le portail Azure. Les zones Abonnement, Coffre de clés, Clé et Version contiennent des valeurs.

  5. Enregistrez vos modifications.

Mettre à jour la version de la clé

Lorsque vous créez une nouvelle version d’une clé, mettez à jour la ressource Foundry Tools pour utiliser la nouvelle version. Procédez comme suit :

  1. Accédez à votre ressource Outils Foundry, puis sélectionnez Chiffrement.
  2. Entrez l’URI de la nouvelle version de clé. Vous pouvez également sélectionner le coffre de clés, puis sélectionner à nouveau la clé pour mettre à jour la version.
  3. Enregistrez vos modifications.

Utiliser une autre clé

Pour modifier la clé que vous utilisez pour le chiffrement, procédez comme suit :

  1. Accédez à votre ressource Outils de fonderie, puis sélectionnez Chiffrement.
  2. Entrez l’URI de la nouvelle clé. Vous pouvez également sélectionner le coffre de clés, puis sélectionner une nouvelle clé.
  3. Enregistrez vos modifications.

Faire pivoter les clés gérées par le client

Vous pouvez faire pivoter une clé gérée par le client dans Key Vault en fonction de vos stratégies de conformité. Lorsque la clé est tournée, vous devez mettre à jour la ressource Outils de fonderie pour utiliser le nouvel URI de clé. Pour savoir comment mettre à jour la ressource pour utiliser une nouvelle version de la clé dans le portail Azure, consultez Update la version de la clé.

La rotation de la clé ne déclenche pas le rechiffrage des données dans la ressource. Aucune action supplémentaire n’est nécessaire de la part de l’utilisateur.

Révoquer l’accès aux clés gérées par le client

Pour révoquer l’accès aux clés gérées par le client, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Azure Key Vault PowerShell ou Azure Key Vault CLI. La révocation de l’accès bloque efficacement l’accès à toutes les données de la ressource Foundry Tools, car la clé de chiffrement est inaccessible par Foundry Tools.

Désactiver les clés gérées par le client

Lorsque vous désactivez les clés gérées par le client, votre ressource Outils Foundry est ensuite chiffrée avec des clés gérées par Microsoft. Pour désactiver les clés gérées par le client, procédez comme suit :

  1. Accédez à votre ressource Outils de fonderie, puis sélectionnez Chiffrement.
  2. Décochez la case à cocher située à en regard de Utiliser votre propre clé.

Étapes suivantes

  • Last updated on