Kryptera vilande data

Det här innehållet gäller för:bockmarkeringv4.0 (GA)bockmarkeringv3.1 (GA)röd bockmarkeringv3.0 (dra tillbaka)röd bockmarkeringv2.1 (dra tillbaka)

Viktigt

  • Tidigare versioner av kundhanterade nycklar (CMK) krypterade endast dina modeller.
  • Från och med lanseringen 07/31/2023 använder alla nya resurser kundhanterade nycklar för att kryptera både modeller och dokumentresultat.
  • Ta bort analyssvar. analyze response lagras i 24 timmar från det att åtgärden har slutförts för hämtning. I scenarier där du vill ta bort svaret tidigare använder du borttagningsanalyssvars-API:et för att ta bort svaret.
  • Om du vill uppgradera en befintlig tjänst för att kryptera både modellerna och data inaktiverar du och kan återanvända den kundhanterade nyckeln.

Azure Dokumentinformation i Foundry Tools krypterar automatiskt dina data när de sparas i molnet. Kryptering med dokumentinformation skyddar dina data för att hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden.

Om kryptering för Foundry Tools

Data krypteras och dekrypteras med FIPS 140-2-kompatibel256-bitars AES-kryptering . Kryptering och dekryptering är transparenta, vilket innebär att kryptering och åtkomst hanteras åt dig. Dina data är säkra som standard. Du behöver inte ändra din kod eller dina program för att dra nytta av kryptering.

Om hantering av krypteringsnycklar

Som standard använder din prenumeration Microsoft hanterade krypteringsnycklar. Du kan också hantera din prenumeration med dina egna nycklar, som kallas kundhanterade nycklar. När du använder kundhanterade nycklar har du större flexibilitet i hur du skapar, roterar, inaktiverar och återkallar åtkomstkontroller. Du kan också granska de krypteringsnycklar som du använder för att skydda dina data. Om kundhanterade nycklar har konfigurerats för din prenumeration tillhandahålls dubbel kryptering. Med det här andra skyddsskiktet kan du styra krypteringsnyckeln via din Azure Key Vault.

Viktigt

  • Kundhanterade nycklar är endast tillgängliga för resurser som skapats efter den 11 maj 2020. Om du vill använda kundhanterade nycklar med Dokumentinformation måste du skapa en ny dokumentinformationsresurs. När resursen har skapats kan du använda Azure Key Vault för att konfigurera din hanterade identitet.
  • Omfånget för data som krypterats med kundhanterade nycklar omfattar lagrade analysis response i 24 timmar, vilket gör att åtgärdsresultaten kan hämtas under den tidsperioden på 24 timmar.

Kundhanterade nycklar med Azure Key Vault

När du använder kundhanterade nycklar måste du använda Azure Key Vault för att lagra dem. Du kan antingen skapa egna nycklar och lagra dem i en key vault, eller så kan du använda Key Vault API:er för att generera nycklar. Foundry Tools-resursen och nyckelvalvet måste finnas i samma region och i samma Microsoft Entra klientorganisation, men de kan finnas i olika prenumerationer. Mer information om Key Vault finns i Vad är Azure Key Vault?.

När du skapar en ny Foundry Tools-resurs krypteras den alltid med hjälp av Microsoft hanterade nycklar. Det går inte att aktivera kundhanterade nycklar när du skapar resursen. Kundhanterade nycklar lagras i Key Vault. Nyckelvalvet måste etableras med åtkomstprinciper som ger nyckelbehörighet till den hanterade identitet som är associerad med Foundry Tools-resursen. ** Den hanterade identiteten är endast tillgänglig efter att resursen har skapats genom att använda den prisnivå som krävs för kundhanterade nycklar.

Om du aktiverar kundhanterade nycklar kan du även aktivera en systemtilldelad hanterad identitet, en funktion i Microsoft Entra ID. När den systemtilldelade hanterade identiteten har aktiverats registreras den här resursen med Microsoft Entra ID. När den hanterade identiteten har registrerats ges den åtkomst till nyckelvalvet som väljs under konfigurationen av kundhanterad nyckel.

Viktigt

Om du inaktiverar systemtilldelade hanterade identiteter tas åtkomsten till nyckelvalvet bort och alla data som krypteras med kundnycklarna inte längre är tillgängliga. Alla funktioner som är beroende av dessa data slutar fungera.

Viktigt

Hanterade identiteter stöder för närvarande inte scenarier mellan kataloger. När du konfigurerar kundhanterade nycklar i Azure-portalen tilldelas en hanterad identitet automatiskt i bakgrunden. Om du därefter flyttar prenumerationen, resursgruppen eller resursen från en Microsoft Entra katalog till en annan överförs inte den hanterade identiteten som är associerad med resursen till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra kataloger i FAQs och kända problem med hanterade identiteter för Azure resurser.

Konfigurera Key Vault

När du använder kundhanterade nycklar måste du ange två egenskaper i nyckelvalvet, Mjuk borttagning och Rensa inte. De här egenskaperna är inte aktiverade som standard, men du kan aktivera dem i ett nytt eller befintligt nyckelvalv med hjälp av Azure-portalen, PowerShell eller Azure CLI.

Viktigt

Om egenskaperna Soft Delete och Do Not Purge inte är aktiverade och du tar bort din nyckel kan du inte återställa data i din Foundry Tools-resurs.

Information om hur du aktiverar dessa egenskaper i ett befintligt nyckelvalv finns i Azure Key Vault återställningshantering med skydd för mjuk borttagning och rensning.

Aktivera kundhanterade nycklar för din resurs

Följ dessa steg för att aktivera kundhanterade nycklar i Azure portalen:

  1. Gå till din Foundry Tools-resurs.

  2. Till vänster väljer du Kryptering.

  3. Under Krypteringstyp väljer du Kundhanterade nycklar, enligt följande skärmbild.

    Skärmbild av sidan Krypteringsinställningar för en Foundry-resurs. Under Krypteringstyp är alternativet Kundhanterade nycklar valt.

Ange en nyckel

När du har aktiverat kundhanterade nycklar kan du ange en nyckel som ska associeras med foundry tools-resursen.

Ange en nyckel som en URI

Följ dessa steg för att ange en nyckel som en URI:

  1. I Azure-portalen går du till ditt nyckelvalv.

  2. Under Inställningar väljer du Nycklar.

  3. Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.

  4. Kopiera nyckelidentifierarens värde, som tillhandahåller URI:n.

    Skärmbild av Azure portalsidan för en nyckelversion. Rutan Nyckelidentifierare innehåller en platshållare för en nyckel-URI.

  5. Gå tillbaka till din Foundry Tools-resurs och välj sedan Kryptering.

  6. Under Krypteringsnyckel väljer du Ange nyckel-URI.

  7. Klistra in den URI som du kopierade i rutan Nyckel-URI .

    Skärmbild av sidan Kryptering för en Foundry-resurs. Alternativet Ange nyckel-URI är markerat och rutan Nyckel-URI innehåller ett värde.

  8. Under Prenumeration väljer du den prenumeration som innehåller nyckelvalvet.

  9. Spara ändringarna.

Ange en nyckel från ett nyckelvalv

Om du vill ange en nyckel från ett nyckelvalv kontrollerar du först att du har ett nyckelvalv som innehåller en nyckel. Följ sedan dessa steg:

  1. Gå till resursen Foundry Tools och välj sedan Kryptering.

  2. Under Krypteringsnyckel väljer du Välj från Key Vault.

  3. Välj det nyckelvalv som innehåller den nyckel som du vill använda.

  4. Välj den nyckel som du vill använda.

    Skärmbild av sidan Välj nyckel från Azure Key Vault i Azure-portalen. Rutorna Prenumeration, Nyckelvalv, Nyckel och Version innehåller values.

  5. Spara ändringarna.

Uppdatera nyckelversionen

När du skapar en ny version av en nyckel uppdaterar du Foundry Tools-resursen så att den nya versionen används. Följ dessa steg:

  1. Gå till resursen Foundry Tools och välj sedan Kryptering.
  2. Ange URI:n för den nya nyckelversionen. Alternativt kan du välja nyckelvalvet och sedan välja nyckeln igen för att uppdatera versionen.
  3. Spara ändringarna.

Använda en annan nyckel

Följ dessa steg om du vill ändra den nyckel som du använder för kryptering:

  1. Gå till resursen Foundry Tools och välj sedan Kryptering.
  2. Ange URI:n för den nya nyckeln. Alternativt kan du välja nyckelvalvet och sedan välja en ny nyckel.
  3. Spara ändringarna.

Rotera kundhanterade nycklar

Du kan rotera en kundhanterad nyckel i Key Vault enligt dina efterlevnadsprinciper. När nyckeln roteras måste du uppdatera foundry Tools-resursen för att använda den nya nyckel-URI:n. Information om hur du uppdaterar resursen för att använda en ny version av nyckeln i Azure-portalen finns i Uppdate the key version.

Om du roterar nyckeln utlöses inte omkryptering av data i resursen. Ingen ytterligare åtgärd krävs från användaren.

Återkalla åtkomst till kundhanterade nycklar

Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data i Foundry Tools-resursen eftersom krypteringsnyckeln inte kan nås av Foundry Tools.

Inaktivera kundhanterade nycklar

När du inaktiverar kundhanterade nycklar krypteras din Foundry Tools-resurs med Microsoft hanterade nycklar. Så här inaktiverar du kundhanterade nycklar:

  1. Gå till resursen Foundry Tools och välj sedan Kryptering.
  2. Avmarkera kryssrutan bredvid Använd din egen nyckel.

Nästa steg

  • Last updated on