Freigeben über

Verschlüsselung für ruhende Daten des Gesichtserkennungsdiensts

Der Gesichtserkennungsdienst verschlüsselt Ihre Daten automatisch, wenn sie in der Cloud gespeichert werden. Diese Verschlüsselung schützt Ihre Daten und hilft Ihnen dabei, Ihre organisatorischen Sicherheits- und Konformitätszusagen zu erfüllen.

Informationen zur Verschlüsselung von Foundry Tools

Daten werden mittels FIPS 140-2-konformer 256-Bit-AES-Verschlüsselung ver- und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt. Sie brauchen Ihren Code oder Ihre Anwendungen nicht bearbeiten, um die Vorteile der Verschlüsselung zu nutzen.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Sie können Ihr Abonnement auch mit Ihren eigenen Schlüsseln verwalten, die als kundenseitig verwaltete Schlüssel bezeichnet werden. Wenn Sie kundenseitig verwaltete Schlüssel verwenden, haben Sie mehr Flexibilität beim Erstellen, Drehen, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen. Wenn kundenseitig verwaltete Schlüssel für Ihr Abonnement konfiguriert ist, wird eine Mehrfachverschlüsselung bereitgestellt. Mit dieser zweiten Schutzeben können Sie den Verschlüsselungsschlüssel über Ihre Azure Key Vault-Instanz steuern.

Von Kunden verwaltete Schlüssel mit Azure Key Vault

Wenn Sie kundenseitig verwaltete Schlüssel verwenden, müssen Sie Azure Key Vault verwenden, um sie zu speichern. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Key Vault speichern oder mit den Key Vault-APIs Schlüssel generieren. Die Foundry Tools-Ressource und der Schlüsseltresor müssen sich in derselben Region und im selben Microsoft Entra-Mandanten befinden, können aber zu verschiedenen Abonnements gehören. Weitere Informationen zu Key Vault finden Sie unter Was ist Azure Key Vault?.

Wenn Sie eine neue Ressource "Foundry Tools" erstellen, wird sie immer mit von Microsoft verwalteten Schlüsseln verschlüsselt. Es ist nicht möglich, kundenseitig verwaltete Schlüssel zu aktivieren, wenn Sie die Ressource erstellen. Kundenseitig verwaltete Schlüssel werden in Key Vault gespeichert. Für den Schlüsseltresor müssen Zugriffsrichtlinien bereitgestellt werden, die Schlüsselberechtigungen für die verwaltete Identität erteilen, die der Foundry Tools-Ressource zugeordnet ist. Die verwaltete Identität ist erst verfügbar, nachdem die Ressource mit dem erforderlichen Tarif für kundenseitig verwaltete Schlüssel erstellt wurde.

Durch das Aktivieren von kundenseitig verwalteten Schlüsseln wird außerdem eine systemseitig zugewiesene verwaltete Identität aktiviert. Dabei handelt es sich um ein Feature von Microsoft Entra ID. Nachdem die dem System zugewiesene verwaltete Identität aktiviert wurde, ist diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde.

Wichtig

Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren dann nicht mehr.

Wichtig

Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie kundenseitig verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die der Ressource zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, wodurch kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.

Konfigurieren von Key Vault

Wenn Sie kundenseitig verwaltete Schlüssel verwenden, müssen Sie zwei Eigenschaften im Key Vault festlegen: Vorläufiges Löschen und Nicht Bereinigen. Diese Eigenschaften sind standardmäßig nicht aktiviert, aber Sie können sie auf einem neuen oder vorhandenen Schlüsseltresor aktivieren, indem Sie das Azure-Portal, PowerShell oder Azure CLI verwenden.

Wichtig

Wenn die Eigenschaften "Vorläufiges Löschen " und " Nicht löschen " nicht aktiviert sind und Sie den Schlüssel löschen, können Sie die Daten nicht in der Ressource "Foundry Tools" wiederherstellen.

Informationen zum Aktivieren dieser Eigenschaften für einen bereits vorhandenen Key Vault finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.

Aktivieren von kundenseitig verwalteten Schlüsseln für Ihre Ressource

Um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren, gehen Sie folgendermaßen vor:

  1. Wechseln Sie zu Ihrer Ressource "Foundry Tools".

  2. Wählen Sie auf der linken Seite Verschlüsselung aus.

  3. Wählen Sie unter Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel aus, wie im folgenden Screenshot gezeigt.

    Screenshot der Seite

Angeben eines Schlüssels

Nachdem Sie vom Kunden verwaltete Schlüssel aktiviert haben, können Sie einen Schlüssel angeben, der der Ressource "Foundry Tools" zugeordnet werden soll.

Festlegen eines Schlüssels als URI

Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

  1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault.

  2. Wählen Sie unter Einstellungen die Option Schlüssel aus.

  3. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  4. Kopieren Sie den Wert für Schlüsselbezeichner, das den URI enthält.

    Screenshot der Azure-Portalseite für eine Schlüsselversion. Das Feld „Schlüsselbezeichner“ enthält einen Platzhalter für einen Schlüssel-URI.

  5. Wechseln Sie zurück zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.

  6. Wählen Sie unter Verschlüsselungsschlüssel die Option Schlüssel-URI eingeben aus.

  7. Fügen Sie den kopierten URI in das Feld Schlüssel-URI ein.

    Screenshot der Seite

  8. Wählen Sie unter Abonnement das Abonnement aus, das den Schlüsseltresor enthält.

  9. Speichern Sie die Änderungen.

Festlegen eines Schlüssels aus einem Schlüsseltresor

Um einen Schlüssel aus einem Schlüsseltresor anzugeben, müssen Sie zunächst sicherstellen, dass Sie über einen Schlüsseltresor mit einem Schlüssel verfügen. Führen Sie dann die folgenden Schritte durch:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option Aus Schlüsseltresor auswählen aus.

  3. Wählen Sie den Schlüsseltresor mit dem Schlüssel aus, den Sie verwenden möchten.

  4. Wählen Sie den Schlüssel aus, den Sie verwenden möchten.

    Screenshot der Seite „Auswählen des Schlüssels aus Azure Key Vault“ im Azure-Portal. Die Felder „Abonnement“, „Schlüsseltresor“, „Schlüssel“ und „Version“ enthalten Werte.

  5. Speichern Sie die Änderungen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Ressource "Foundry Tools", um die neue Version zu verwenden. Folgen Sie diesen Schritten:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für die neue Schlüsselversion ein. Alternativ können Sie den Key Vault auswählen und anschließend den Schlüssel erneut auswählen, um die Version zu aktualisieren.
  3. Speichern Sie die Änderungen.

Verwenden eines anderen Schlüssels

Gehen Sie wie folgt vor, um den für die Verschlüsselung verwendeten Schlüssel zu ändern:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Geben Sie den URI für den neuen Schlüssel ein. Alternativ können Sie auch den Schlüsseltresor auswählen und dann einen neuen Schlüssel wählen.
  3. Speichern Sie die Änderungen.

Rotieren von kundenseitig verwalteten Schlüsseln

Sie können einen kundenseitig verwalteten Schlüssel in Key Vault entsprechend Ihren Compliance-Richtlinien drehen. Wenn der Schlüssel gedreht wird, müssen Sie die Ressource "Foundry Tools" aktualisieren, um den neuen Schlüssel-URI zu verwenden. Informationen zum Aktualisieren der Ressource für die Verwendung einer neuen Version des Schlüssels im Azure-Portal finden Sie unter Aktualisieren der Schlüsselversion.

Durch Drehen des Schlüssels werden die Daten in der Ressource nicht erneut verschlüsselt. Es ist keine weitere Aktion vom Benutzer erforderlich.

Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel

Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Ressource "Foundry Tools" effektiv blockiert, da auf den Verschlüsselungsschlüssel von Foundry Tools nicht zugegriffen werden kann.

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie vom Kunden verwaltete Schlüssel deaktivieren, wird die Ressource "Foundry Tools" dann mit von Microsoft verwalteten Schlüsseln verschlüsselt. Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel zu deaktivieren:

  1. Wechseln Sie zur Ressource "Foundry Tools", und wählen Sie dann "Verschlüsselung" aus.
  2. Deaktivieren Sie das Kontrollkästchen neben Eigenen Schlüssel verwenden.

Verwandte Inhalte

  • Last updated on