Criptografar dados em repouso

Este conteúdo se aplica a:marca de seleçãov4.0 (GA)marca de seleçãov3.1 (GA)marca de seleção vermelhav3.0 (descontinuado)marca de seleção vermelhav2.1 (descontinuado)

Importante

  • Versões anteriores de chaves gerenciadas pelo cliente (CMK) criptografavam apenas seus modelos.
  • A partir da 07/31/2023 versão, todos os novos recursos utilizam chaves gerenciadas pelo cliente para criptografar os modelos e os resultados do documento.
  • Excluir a análise da resposta O analyze response é armazenado por 24 horas a partir do momento em que a operação é concluída para recuperação. Quando quiser excluir a resposta mais cedo, use a API de exclusão de análise de resposta.
  • Para atualizar um serviço existente para criptografar os modelos e os dados, desabilite e reenabilite a chave gerenciada pelo cliente.

Azure Document Intelligence no Foundry Tools criptografa automaticamente seus dados ao persistê-los na nuvem. A criptografia do Document Intelligence protege seus dados para ajudá-lo a cumprir seus compromissos de conformidade e segurança organizacional.

Sobre a criptografia das Ferramentas de Foundry

Os dados são criptografados e descriptografados usando criptografia AES compatível com FIPS 140-2de 256 bits . A criptografia e a descriptografia são processos transparentes, ou seja, a criptografia e o acesso são gerenciados automaticamente para você. Seus dados são seguros por padrão. Você não precisa modificar seu código ou aplicativos para aproveitar a criptografia.

Sobre o gerenciamento de chaves de criptografia

Por padrão, sua assinatura usa chaves de criptografia gerenciadas por Microsoft. Você também pode gerenciar sua assinatura com suas próprias chaves, que são chamadas de chaves gerenciadas pelo cliente. Ao usar chaves gerenciadas pelo cliente, você tem maior flexibilidade na maneira como cria, gira, desabilitar e revoga controles de acesso. Você também pode auditar as chaves de criptografia usadas para proteger seus dados. Se as chaves gerenciadas pelo cliente estiverem configuradas para sua assinatura, a criptografia dupla será fornecida. Com essa segunda camada de proteção, você pode controlar a chave de criptografia por meio de sua Azure Key Vault.

Importante

  • As chaves gerenciadas pelo cliente só estão disponíveis para recursos criados após 11 de maio de 2020. Para usar chaves gerenciadas pelo cliente com o Document Intelligence, você precisa criar um novo recurso do Document Intelligence. Depois que o recurso for criado, você poderá usar Azure Key Vault para configurar sua identidade gerenciada.
  • O escopo dos dados criptografados com chaves gerenciadas pelo cliente inclui o analysis response armazenado por 24 horas, permitindo que os resultados da operação sejam recuperados durante esse período de 24 horas.

Chaves gerenciadas pelo cliente com Azure Key Vault

Ao usar chaves gerenciadas pelo cliente, você deve usar Azure Key Vault para armazená-las. Você pode criar suas próprias chaves e armazená-las em um key vault ou usar as APIs Key Vault para gerar chaves. O recurso Foundry Tools e o cofre de chaves devem estar na mesma região e no mesmo inquilino do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre Key Vault, consulte O que é Azure Key Vault?.

Quando você cria um novo recurso de Ferramentas de Pesquisa, ele é sempre criptografado usando chaves gerenciadas por Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente ao criar o recurso. As chaves gerenciadas pelo cliente são armazenadas em Key Vault. O cofre de chaves precisa ser provisionado com políticas de acesso que concedam permissões de chaves à identidade gerenciada associada ao recurso Foundry Tools. A identidade gerenciada fica disponível somente depois que o recurso é criado usando o tipo de preço necessário para as chaves gerenciadas pelo cliente.

Habilitar chaves gerenciadas pelo cliente também habilita uma identidade gerenciada pelo sistema, um recurso de Microsoft Entra ID. Depois que a identidade gerenciada atribuída pelo sistema estiver habilitada, esse recurso será registrado com Microsoft Entra ID. Depois de ser registrada, a identidade gerenciada recebe acesso ao cofre de chaves que é selecionado durante a configuração da chave gerenciada pelo cliente.

Importante

Se você desabilitar identidades gerenciadas atribuídas pelo sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos que dependem desse dado param de funcionar.

Importante

Atualmente, as identidades gerenciadas não dão suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Transferência de uma assinatura entre diretórios do Microsoft Entra em FAQs e problemas conhecidos com identidades gerenciadas para recursos do Azure.

Configurar Key Vault

Ao usar chaves gerenciadas pelo cliente, você precisa definir duas propriedades no cofre de chaves, Exclusão Suave e Não Remover. Essas propriedades não são habilitadas por padrão, mas você pode habilitá-las em um cofre de chaves novo ou existente usando o portal Azure, o PowerShell ou o CLI do Azure.

Importante

Se as propriedades Exclusão Temporária e Não Limpar não estiverem habilitadas e você excluir sua chave, não será possível recuperar os dados no recurso do Foundry Tools.

Para saber como habilitar essas propriedades em um cofre de chaves existente, confira Gerenciamento de recuperação do Azure Key Vault com exclusão temporária e proteção de limpeza.

Habilitar chaves gerenciadas pelo cliente para seu recurso

Para habilitar chaves gerenciadas pelo cliente no portal Azure, siga estas etapas:

  1. Vá para o recurso Foundry Tools.

  2. À esquerda, selecione Criptografia.

  3. Em Criptografia, selecione Chaves Gerenciadas pelo Cliente, conforme mostrado na captura de tela a seguir.

    Captura de tela da página de configurações de criptografia de um recurso do Foundry. No tipo criptografia, a opção Chaves Gerenciadas pelo Cliente está selecionada.

Especificar uma chave

Depois de habilitar chaves gerenciadas pelo cliente, você pode especificar uma chave a ser associada ao recurso Foundry Tools.

Especificar uma chave como um URI

Para especificar uma chave como um URI, siga estas etapas:

  1. No portal do Azure, acesse o seu cofre de chaves.

  2. Em Configurações, selecione Chaves.

  3. Selecione a chave desejada e, em seguida, selecione a chave para exibir suas versões. Selecione uma versão de chave para exibir as configurações dessa versão.

  4. Copie o valor do Identificador de Chave , que fornece o URI.

    Captura de tela da página do portal do Azure para uma versão de chave. A caixa Identificador de Chave contém um espaço reservado para um URI de chave.

  5. Volte para o recurso Foundry Tools e selecione Criptografia.

  6. Em Chave de criptografia, selecione Inserir URI de chave.

  7. Cole o URI que você copiou na caixa URI da chave .

    Captura de tela da página Criptografia de um recurso do Foundry. A opção Inserir URI de chave está selecionada e a caixa URI da chave contém um valor.

  8. Em Assinatura, selecione a assinatura que contém o cofre de chaves.

  9. Salve suas alterações.

Especificar uma chave de um cofre de chaves

Para especificar uma chave de um cofre de chaves, primeiro verifique se você tem um cofre de chaves que contém uma chave. Em seguida, siga estas etapas:

  1. Vá para o recurso Ferramentas Foundry e selecione Criptografia.

  2. Em Encryption key, selecione Selecionar do Key Vault.

  3. Selecione o cofre de chaves que contém a chave que você deseja usar.

  4. Selecione a chave que você deseja usar.

    Captura de tela da chave

  5. Salve suas alterações.

Atualizar a versão da chave

Ao criar uma nova versão de uma chave, atualize o recurso Foundry Tools para usar a nova versão. Siga estas etapas:

  1. Vá para o recurso de Ferramenta Foundry e selecione Criptografia.
  2. Insira o URI para a nova versão da chave. Como alternativa, você pode selecionar o cofre de chaves e selecionar a chave novamente para atualizar a versão.
  3. Salve suas alterações.

Usar uma chave diferente

Para alterar a chave que você usa para criptografia, siga estas etapas:

  1. Vá para o recurso Ferramentas do Foundry e selecione Criptografia.
  2. Insira o URI da nova chave. Como alternativa, você pode selecionar o cofre de chaves e selecionar uma nova chave.
  3. Salve suas alterações.

Girar chaves gerenciadas pelo cliente

Você pode girar uma chave gerenciada pelo cliente em Key Vault de acordo com suas políticas de conformidade. Quando a chave é alterada, você deve atualizar o recurso Foundry Tools para usar o novo URI da chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal Azure, consulte Update a versão da chave.

Girar a chave não dispara a nova criptografia de dados no recurso. Nenhuma ação adicional é necessária do usuário.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso a chaves gerenciadas pelo cliente, use o PowerShell ou CLI do Azure. Para obter mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. A revogação do acesso bloqueia efetivamente o acesso a todos os dados no recurso Foundry Tools, pois a chave de criptografia está inacessível para o Foundry Tools.

Desabilitar chaves gerenciadas pelo cliente

Quando você desabilitar chaves gerenciadas pelo cliente, o recurso Foundry Tools é criptografado com chaves gerenciadas pela Microsoft. Para desabilitar chaves gerenciadas pelo cliente, siga estas etapas:

  1. Vá para o recurso Ferramentas do Foundry e selecione Criptografia.
  2. Desmarque a caixa de seleção ao lado de Usar sua própria chave.

Próximas etapas

  • Last updated on