Encriptar dados em repouso

Este conteúdo aplica-se a:marca de verificaçãov4.0 (GA)marca de verificaçãov3.1 (GA)marca vermelha de verificaçãov3.0 (a descontinuar)marca vermelha de verificaçãov2.1 (a descontinuar)

Importante

  • Versões anteriores de chaves geridas pelo cliente (CMK) apenas encriptavam os seus modelos.
  • A partir do 07/31/2023 lançamento, todos os novos recursos utilizam chaves geridas pelo cliente para encriptar tanto os modelos como os resultados dos documentos.
  • Eliminar resposta de análise. O analyze response é armazenado por 24 horas a partir da conclusão da operação para recuperação posterior. Para cenários em que quer eliminar a resposta mais cedo, use a API delete analyze response para eliminar a resposta.
  • Para atualizar um serviço existente para encriptar tanto os modelos como os dados, desative e reative a chave gerida pelo cliente.

O Azure Document Intelligence no Foundry Tools encripta automaticamente os seus dados quando os mantém na cloud. A encriptação de Inteligência Documental protege os seus dados para o ajudar a cumprir os seus compromissos organizacionais de segurança e conformidade.

Sobre a encriptação da Foundry Tools

Os dados são encriptados e desencriptados usando encriptação AES de 256 bits compatível com FIPS 140-2. A encriptação e a desencriptação são transparentes, o que significa que a encriptação e o acesso são geridos para si. Os seus dados são seguros por padrão. Não precisa de modificar o seu código ou aplicações para tirar partido da encriptação.

Sobre a gestão de chaves de encriptação

Por defeito, a sua subscrição utiliza chaves de encriptação geridas pela Microsoft. Também pode gerir a sua subscrição com as suas próprias chaves, chamadas chaves geridas pelo cliente. Quando utiliza chaves geridas pelo cliente, tem maior flexibilidade na forma como cria, roda, desativa e revoga os controlos de acesso. Também pode auditar as chaves de encriptação que utiliza para proteger os seus dados. Se as chaves geridas pelo cliente estiverem configuradas para a sua subscrição, é fornecida a dupla encriptação. Com esta segunda camada de proteção, pode controlar a chave de encriptação através do seu Azure Key Vault.

Importante

  • As chaves geridas pelo cliente são apenas recursos disponíveis criados após 11 de maio de 2020. Para usar chaves geridas pelo cliente com Inteligência de Documentos, é necessário criar um novo recurso de Inteligência de Documentos. Depois de criado o recurso, pode usar o Azure Key Vault para configurar a sua identidade gerida.
  • O escopo dos dados encriptados com chaves geridas pelo cliente inclui o analysis response armazenado por 24 horas, permitindo que os resultados da operação sejam recuperados durante esse período de 24 horas.

Chaves geridas pelo cliente com Azure Key Vault

Quando utiliza chaves geridas pelo cliente, deve usar o Azure Key Vault para as armazenar. Podes criar as tuas próprias chaves e guardá-las num key vault, ou podes usar as APIs do Key Vault para gerar chaves. O recurso Foundry Tools e o cofre de chaves devem estar na mesma região e no mesmo tenant Microsoft Entra, mas podem estar em subscrições diferentes. Para mais informações sobre Key Vault, consulte O que é Azure Key Vault?.

Quando cria um novo recurso Foundry Tools, ele é sempre encriptado usando chaves geridas pela Microsoft. Não é possível ativar chaves geridas pelo cliente quando cria o recurso. As chaves geridas pelo cliente são armazenadas no Key Vault. O cofre de chaves precisa de estar equipado com políticas de acesso que concedam permissões de chave à identidade gerida associada ao recurso Foundry Tools. A identidade gerida só está disponível depois de o recurso ser criado, utilizando o escalão de preços exigido para chaves geridas pelo cliente.

Ativar chaves geridas pelo cliente também ativa uma identidade gerida pelo sistema, uma funcionalidade do Microsoft Entra ID. Depois de a identidade gerida atribuída ao sistema ser ativada, este recurso é registado com o Microsoft Entra ID. Após o registo, a identidade gerida recebe acesso ao cofre de chaves selecionado durante a configuração da chave gerida pelo cliente.

Importante

Se desativar as identidades geridas atribuídas pelo sistema, o acesso ao cofre de chaves é removido e quaisquer dados encriptados com as chaves do cliente deixam de ser acessíveis. Quaisquer funcionalidades que dependam destes dados deixam de funcionar.

Importante

As identidades geridas atualmente não suportam cenários entre diretórios. Quando configura chaves geridas pelo cliente no portal Azure, uma identidade gerida é automaticamente atribuída nos bastidores. Se posteriormente mover a subscrição, grupo de recursos ou recurso de um diretório Microsoft Entra para outro, a identidade gerida associada ao recurso não é transferida para o novo tenant, pelo que as chaves geridas pelo cliente podem deixar de funcionar. Para mais informações, consulte Transferindo uma subscrição entre diretórios de Microsoft Entra nas FAQs e problemas conhecidos com identidades geridas para recursos Azure.

Configurar Key Vault

Quando usas chaves geridas pelo cliente, precisas de definir duas propriedades no cofre de chaves: Soft Delete e Não Purgar. Estas propriedades não estão ativadas por defeito, mas pode ativá-las num cofre de chaves novo ou existente usando o portal do Azure, PowerShell ou CLI do Azure.

Importante

Se as propriedades de Soft Delete e Não Purgar não estiverem ativadas e eliminares a tua chave, não consegues recuperar os dados no teu recurso Foundry Tools.

Para saber como ativar estas propriedades num cofre de chaves existente, consulte Azure Key Vault gestão de recuperação com proteção contra eliminação e purga suave.

Ative chaves geridas pelo cliente para o seu recurso

Para ativar chaves geridas pelo cliente no portal Azure, siga estes passos:

  1. Vá ao seu recurso de ferramentas Foundry Tools.

  2. À esquerda, selecione Encriptação.

  3. Em Tipo de Encriptação, selecione Chaves Geridas pelo Cliente, como mostrado na captura de ecrã seguinte.

    Captura de ecrã da página de definições de encriptação de um recurso do Foundry. Em Tipo de Encriptação, está selecionada a opção Chaves Geridas pelo Cliente.

Especificar uma chave

Depois de ativar as chaves geridas pelo cliente, pode especificar uma chave para associar ao recurso Foundry Tools.

Especificar uma chave como URI

Para especificar uma chave como URI, siga estes passos:

  1. No portal do Azure, vai ao teu cofre de chaves.

  2. Em Definições, selecione Teclas.

  3. Selecione a chave desejada e depois selecione novamente para ver as suas versões. Selecione uma versão chave para visualizar as definições dessa versão.

  4. Copie o valor do Key Identifier , que fornece o URI.

    Captura de ecrã da página do portal Azure para uma versão chave. A caixa de Identificador de Chave contém um marcador de posição para uma chave URI.

  5. Volte ao seu recurso Foundry Tools e depois selecione Encriptação.

  6. Em chave de encriptação, selecione Enter key URI.

  7. Cola o URI que copiaste na caixa de URI da chave .

    Captura de ecrã da página de Encriptação de um recurso da Foundry. A opção URI da tecla Enter está selecionada, e a caixa URI da chave contém um valor.

  8. Em Subscrição, selecione a subscrição que contém o cofre de chaves.

  9. Guarde as suas alterações.

Especificar uma chave de um cofre de chaves

Para especificar uma chave de um cofre de chaves, primeiro certifique-se de que tem um cofre de chaves que contenha uma chave. Segue estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.

  2. Em Chave de cifragem, selecione Selecionar do Key Vault.

  3. Seleciona o cofre de chaves que contém a chave que queres usar.

  4. Seleciona a tecla que queres usar.

    Captura de ecrã da opção Selecionar da página do Cofre de Chaves Azure no portal Azure. As caixas de Subscrição, Cofre de Chaves, Chave e Versão contêm valores.

  5. Guarde as suas alterações.

Atualizar a versão da chave

Quando crias uma nova versão de uma chave, atualiza o recurso Foundry Tools para usar a nova versão. Siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Entra o URI da nova versão da chave. Alternativamente, podes selecionar o cofre de chaves e depois selecionar novamente a chave para atualizar a versão.
  3. Guarde as suas alterações.

Usa uma chave diferente

Para alterar a chave que usa para encriptação, siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Introduza o URI da nova chave. Alternativamente, podes selecionar o cofre de chaves e depois selecionar uma nova chave.
  3. Guarde as suas alterações.

Rodar chaves geridas pelo cliente

Pode girar uma chave gerida pelo cliente no Key Vault segundo as suas políticas de conformidade. Quando a chave é rodada, deve atualizar o recurso Foundry Tools para usar o novo URI da chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal Azure, veja Atualizar a versão da chave.

Rodar a chave não desencadeia a reencriptação dos dados no recurso. Não é necessária nenhuma ação adicional por parte do utilizador.

Revogar o acesso às chaves geridas pelo cliente

Para revogar o acesso a chaves geridas pelo cliente, use PowerShell ou CLI do Azure. Para mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. Revogar o acesso bloqueia efetivamente o acesso a todos os dados no recurso Foundry Tools, porque a chave de encriptação é inacessível pelas Foundry Tools.

Desativar chaves geridas pelo cliente

Quando desativa as chaves geridas pelo cliente, o seu recurso Foundry Tools é então encriptado com chaves geridas pela Microsoft. Para desativar as chaves geridas pelo cliente, siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Desmarque a caixa de seleção ao lado de Usar a sua própria chave.

Próximos passos

  • Last updated on