你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
语言在保存到云时自动加密数据。 语言加密可保护数据,并帮助满足组织安全性和合规性承诺。
Foundry 工具加密
数据使用符合 140-2 标准的 256 位 FIPS 加密进行加密和解密。 加密和解密都是透明的,这意味着将替你管理加密和访问。 数据默认受保护,因此你无需修改代码或应用程序即可利用加密。
关于加密密钥管理
默认情况下,订阅使用 Microsoft 托管的加密密钥。 还可以选择使用名为客户管理的密钥(CMK)自己的密钥来管理订阅。 使用 CMK,可更加灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。
客户管理的密钥和 Azure Key Vault
还可以选择使用自己的密钥管理订阅。 客户管理的密钥 (CMK)(也称为创建自己的密钥 (BYOK))在创建、轮换、禁用和撤销访问控制方面具有更大的灵活性。 此外,你还可以审核用于保护数据的加密密钥。
必须使用 Azure Key Vault 来存储客户管理的密钥。 可以创建自己的密钥并将其存储在密钥保管库中,也可以使用 Azure 密钥保管库 API 来生成密钥。 Microsoft Foundry 资源和密钥保管库必须位于同一区域和同一Microsoft Entra 租户中,但它们可以位于不同的订阅中。 有关 Azure Key Vault 的详细信息,请参阅什么是 Azure Key Vault?。
启用客户管理的密钥
新的 Foundry 资源始终使用Microsoft管理的密钥进行加密。 创建资源时不能启用客户管理的密钥。 客户管理的密钥存储在 Azure Key Vault 中。 必须使用访问策略预配密钥保管库,以便向与 Foundry 资源关联的托管标识授予密钥权限。 只有在使用 CMK 的定价层创建资源后,托管标识才可用。
若要了解如何将客户管理的密钥与用于 Foundry 工具加密的 Azure Key Vault 配合使用,请参阅:
启用客户托管密钥还会启用系统分配的托管标识,这是Microsoft Entra ID 的功能。 启用系统分配的托管标识后,此资源将注册到 Microsoft Entra ID。 注册后,托管标识可以访问在客户管理的密钥设置过程中选择的 Key Vault。 你可以详细了解托管标识。
重要说明
如果禁用系统分配的托管标识,则会删除对密钥保管库的访问权限,并且不再可访问使用客户密钥加密的任何数据。 依赖于此数据的任何功能都停止工作。
重要说明
托管标识当前不支持跨目录方案。 在 Azure 门户中配置客户管理的密钥时,系统会在幕后自动分配一个托管标识。 如果将订阅、资源组或资源移到其他Microsoft Entra 目录,则托管标识不会传输到新租户。 因此,客户管理的密钥可能不再有效。 有关详细信息,请参阅 Azure 资源的常见问题解答和已知问题中的“在 Microsoft Entra 目录之间转移订阅”。
在 Azure Key Vault 中存储客户托管的密钥
若要启用客户管理的密钥,必须使用 Azure Key Vault 来存储密钥。 必须同时启用密钥保管库上的“软删除”和“不清除”属性 。
Foundry Tools 加密仅支持大小为 2048 的 RSA 密钥。 有关密钥的详细信息,请参阅Key Vault 密钥,在关于 Azure Key Vault 密钥、机密和证书中查找相关信息。
轮换客户管理的密钥
可以根据你的符合性策略轮换 Azure Key Vault 中客户管理的密钥。 轮换密钥时,必须更新 Foundry 资源才能使用新的密钥 URI。 若要了解如何在 Azure 门户中更新资源以使用新版本的密钥,请参阅标题为“使用 Azure 门户为 Foundry 工具配置客户管理的密钥”中的“更新密钥版本”部分。
轮换密钥不会触发资源中数据的重新加密。 用户无需执行进一步操作。
撤消对客户管理的密钥的访问权限
若要撤消对客户管理的密钥的访问权限,请使用 PowerShell 或 Azure CLI。 有关详细信息,请参阅 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤消访问实际上会阻止访问 Foundry 资源中的所有数据,因为 Foundry 工具无法访问加密密钥。