Ruhende Daten verschlüsseln

Dieser Inhalt gilt für:checkmarkv4.0 (GA)checkmarkv3.1 (GA)red-checkmarkv3.0 (wird eingestellt)red-checkmarkv2.1 (wird eingestellt)

Wichtig

  • Frühere Versionen von vom Kunden verwalteten Schlüsseln (CMK) verschlüsselten nur Ihre Modelle.
  • Ab der 07/31/2023 Veröffentlichung verwenden alle neuen Ressourcen vom Kunden verwaltete Schlüssel zum Verschlüsseln von Modellen und Dokumentergebnissen.
  • Analyseantwort löschen. der analyze response wird für 24 Stunden ab dem Zeitpunkt gespeichert, an dem der Vorgang zum Abruf abgeschlossen ist. Verwenden Sie für Szenarien, in denen Sie die Antwort früher löschen möchten, die Antwort-API für die Löschanalyse, um die Antwort zu löschen.
  • Um einen vorhandenen Dienst zu aktualisieren, sodass sowohl die Modelle als auch die Daten verschlüsselt werden, deaktivieren Sie den vom Kunden verwalteten Schlüssel und aktivieren Sie ihn erneut.

Azure Dokumentintelligenz in Foundry Tools verschlüsselt Ihre Daten automatisch, wenn sie in der Cloud beibehalten werden. Die Dokumentintelligenzverschlüsselung schützt Ihre Daten, damit Sie Ihre Sicherheits- und Complianceverpflichtungen in Ihrer Organisation erfüllen können.

Informationen zur Verschlüsselung von Foundry Tools

Daten werden mit FIPS 140-2-kompatibler256-Bit-AES-Verschlüsselung verschlüsselt und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass Verschlüsselung und Zugriff für Sie verwaltet werden. Ihre Daten sind standardmäßig sicher. Sie müssen Ihren Code oder Ihre Anwendungen nicht ändern, um die Verschlüsselung zu nutzen.

Informationen zur Verschlüsselungsschlüsselverwaltung

Standardmäßig verwendet Ihr Abonnement Microsoft verwaltete Verschlüsselungsschlüssel. Sie können Ihr Abonnement auch mit Ihren eigenen Schlüsseln verwalten, die als vom Kunden verwaltete Schlüssel bezeichnet werden. Wenn Sie vom Kunden verwaltete Schlüssel verwenden, haben Sie mehr Flexibilität beim Erstellen, Drehen, Deaktivieren und Widerrufen von Zugriffssteuerelementen. Sie können auch die Verschlüsselungsschlüssel überwachen, die Sie zum Schutz Ihrer Daten verwenden. Wenn vom Kunden verwaltete Schlüssel für Ihr Abonnement konfiguriert sind, wird eine doppelte Verschlüsselung bereitgestellt. Mit dieser zweiten Schutzebene können Sie den Verschlüsselungsschlüssel über Ihre Azure Key Vault steuern.

Wichtig

  • Vom Kunden verwaltete Schlüssel sind nur für Ressourcen verfügbar, die nach dem 11. Mai 2020 erstellt wurden. Um vom Kunden verwaltete Schlüssel mit Document Intelligence zu verwenden, müssen Sie eine neue Document Intelligence-Ressource erstellen. Nachdem die Ressource erstellt wurde, können Sie Azure Key Vault verwenden, um Ihre verwaltete Identität einzurichten.
  • Der Umfang für Daten, die mit vom Kunden verwalteten Schlüsseln verschlüsselt sind, umfasst die für 24 Stunden gespeicherten analysis response, sodass die Operationsergebnisse während dieses 24-Stunden-Zeitraums abgerufen werden können.

Vom Kunden verwaltete Schlüssel mit Azure Key Vault

Wenn Sie vom Kunden verwaltete Schlüssel verwenden, müssen Sie Azure Key Vault verwenden, um sie zu speichern. Sie können entweder eigene Schlüssel erstellen und in einem key vault speichern, oder Sie können die Key Vault-APIs verwenden, um Schlüssel zu generieren. Die Foundry Tools-Ressource und der Schlüsseltresor müssen sich in derselben Region und im selben Microsoft Entra-Mandanten befinden, können aber zu verschiedenen Abonnements gehören. Weitere Informationen zu Key Vault finden Sie unter What is Azure Key Vault?.

Wenn Sie eine neue Ressource "Foundry Tools" erstellen, wird sie immer mit Microsoft verwalteten Schlüsseln verschlüsselt. Es ist nicht möglich, beim Erstellen der Ressource vom Kunden verwaltete Schlüssel zu aktivieren. Vom Kunden verwaltete Schlüssel werden in Key Vault gespeichert. Für den Schlüsseltresor müssen Zugriffsrichtlinien bereitgestellt werden, die Schlüsselberechtigungen für die verwaltete Identität erteilen, die der Foundry Tools-Ressource zugeordnet ist. Die verwaltete Identität ist erst verfügbar, nachdem die Ressource mithilfe der Preisstufe erstellt wurde, die für vom Kunden verwaltete Schlüssel erforderlich ist.

Das Aktivieren von vom Kunden verwalteten Schlüsseln ermöglicht auch eine vom System zugewiesene managed Identity, ein Feature von Microsoft Entra ID. Nachdem die vom System zugewiesene verwaltete Identität aktiviert wurde, wird diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde.

Wichtig

Wenn Sie vom System zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren nicht mehr.

Wichtig

Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie kundenverwaltete Schlüssel im Azure Portal konfigurieren, wird hinter den Kulissen automatisch eine verwaltete Identität zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource aus einem Microsoft Entra Verzeichnis in ein anderes verschieben, wird die verwaltete Identität, die der Ressource zugeordnet ist, nicht an den neuen Mandanten übertragen, sodass vom Kunden verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Transferieren eines Abonnements zwischen Microsoft Entra Verzeichnissen in FAQs und bekannten Problemen mit verwalteten Identitäten für Azure Ressourcen.

Konfigurieren von Key Vault

Wenn Sie vom Kunden verwaltete Schlüssel verwenden, müssen Sie zwei Eigenschaften im Schlüsseltresor festlegen, "Soft Delete" und "Do Not Purge". Diese Eigenschaften sind standardmäßig nicht aktiviert, aber Sie können sie auf einem neuen oder vorhandenen Schlüsseltresor aktivieren, indem Sie das Azure-Portal, PowerShell oder Azure CLI verwenden.

Wichtig

Wenn die Eigenschaften "Vorläufiges Löschen " und " Nicht löschen " nicht aktiviert sind und Sie den Schlüssel löschen, können Sie die Daten nicht in der Ressource "Foundry Tools" wiederherstellen.

Informationen zum Aktivieren dieser Eigenschaften für einen bereits vorhandenen Key Vault finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Aktivieren von vom Kunden verwalteten Schlüsseln für Ihre Ressource

Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren:

  1. Wechseln Sie zu Ihrer Ressource "Foundry Tools".

  2. Wählen Sie auf der linken Seite "Verschlüsselung" aus.

  3. Wählen Sie unter "Verschlüsselungstyp" die Option " Vom Kunden verwaltete Schlüssel" aus, wie im folgenden Screenshot gezeigt.

    Screenshot der Seite

Angeben eines Schlüssels

Nachdem Sie vom Kunden verwaltete Schlüssel aktiviert haben, können Sie einen Schlüssel angeben, der der Ressource "Foundry Tools" zugeordnet werden soll.

Angeben eines Schlüssels als URI

Führen Sie die folgenden Schritte aus, um einen Schlüssel als URI anzugeben:

  1. Im Azure-Portal, wechseln Sie zu Ihrem Schlüsselarchiv.

  2. Wählen Sie unter "Einstellungen" die Option "Schlüssel" aus.

  3. Wählen Sie den gewünschten Schlüssel aus, und wählen Sie dann den Schlüssel aus, um die zugehörigen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  4. Kopieren Sie den Schlüsselbezeichnerwert , der den URI bereitstellt.

    Screenshot der Azure-Portalseite für eine Schlüsselversion. Das Feld „Schlüsselbezeichner“ enthält einen Platzhalter für einen Schlüssel-URI.

  5. Wechseln Sie zurück zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.

  6. Wählen Sie unter "Verschlüsselungsschlüssel" die Option "Schlüssel-URI eingeben" aus.

  7. Fügen Sie den URI ein, den Sie in das Schlüssel-URI-Feld kopiert haben.

    Screenshot der Seite

  8. Wählen Sie unter Abonnement das Abonnement, das den Key Vault enthält.

  9. Speichern Sie Ihre Änderungen.

Festlegen eines Schlüssels aus einem Schlüsseltresor

Um einen Schlüssel aus einem Schlüsseltresor anzugeben, stellen Sie zunächst sicher, dass Sie über einen Schlüsseltresor verfügen, der einen Schlüssel enthält. Führen Sie dann die folgenden Schritte aus:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.

  2. Wählen Sie unter Verschlüsselungsschlüsselaus Key Vault auswählen aus.

  3. Wählen Sie den Schlüsseltresor aus, der den schlüssel enthält, den Sie verwenden möchten.

  4. Wählen Sie den Schlüssel aus, den Sie verwenden möchten.

    Screenshot der Schaltfläche

  5. Speichern Sie Ihre Änderungen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Ressource "Foundry Tools", um die neue Version zu verwenden. Führen Sie die folgenden Schritte aus:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für die neue Schlüsselversion ein. Alternativ können Sie den Key Vault auswählen und anschließend den Schlüssel erneut auswählen, um die Version zu aktualisieren.
  3. Speichern Sie Ihre Änderungen.

Verwenden eines anderen Schlüssels

Führen Sie die folgenden Schritte aus, um den Schlüssel zu ändern, den Sie für die Verschlüsselung verwenden:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für den neuen Schlüssel ein. Alternativ können Sie auch den Key Vault auswählen und dann einen neuen Schlüssel wählen.
  3. Speichern Sie Ihre Änderungen.

Rotieren von kundenseitig verwalteten Schlüsseln

Sie können einen vom Kunden verwalteten Schlüssel in Key Vault entsprechend Ihren Compliancerichtlinien drehen. Wenn der Schlüssel gedreht wird, müssen Sie die Ressource "Foundry Tools" aktualisieren, um den neuen Schlüssel-URI zu verwenden. Informationen zum Aktualisieren der Ressource zur Verwendung einer neuen Version des Schlüssels im Azure-Portal finden Sie unter Update the key version.

Durch das Drehen des Schlüssels wird keine erneute Verschlüsselung von Daten in der Ressource ausgelöst. Für den Benutzer ist keine weitere Aktion erforderlich.

Widerrufen des Zugriffs auf vom Kunden verwaltete Schlüssel

Verwenden Sie PowerShell oder Azure CLI, um den Zugriff auf vom Kunden verwaltete Schlüssel zu widerrufen. Weitere Informationen finden Sie unter Azure Key Vault PowerShell oder Azure Key Vault CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Ressource "Foundry Tools" effektiv blockiert, da auf den Verschlüsselungsschlüssel von Foundry Tools nicht zugegriffen werden kann.

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie vom Kunden verwaltete Schlüssel deaktivieren, wird die Ressource "Foundry Tools" dann mit Microsoft verwalteten Schlüsseln verschlüsselt. Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel zu deaktivieren:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Deaktivieren Sie das Kontrollkästchen neben "Eigene Taste verwenden".

Nächste Schritte

  • Last updated on