該語言在將資料持續保存到雲端時會自動加密。 語言加密保護您的資料,幫助您達成組織的安全與合規承諾。
Foundry Tools 的加密
資料會使用 FIPS 符合 140-2 標準的 256 位元 AES 加密來加密和解密。 加密和解密是透明的,這表示系統會為您管理加密和存取。 根據預設,您的資料會受到保護,因此您無須修改程式碼或應用程式來利用加密功能。
關於加密金鑰管理
根據預設,您的訂用帳戶會使用由 Microsoft 管理的加密金鑰。 還有一個選項可以用自己的金鑰管理訂閱,稱為客戶管理金鑰(CMK)。 CMK 可讓您以更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。
客戶管理的金鑰與 Azure Key Vault
還有一個選項可以用自己的金鑰管理訂閱。 客戶自控金鑰 (CMK) 也稱為自備金鑰 (BYOK),可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。
您必須使用 Azure Key Vault 來儲存客戶自控金鑰。 您可以建立自己的金鑰並將其儲存在金鑰保存庫中,或是使用 Azure Key Vault API 來產生金鑰。 Microsoft Foundry 資源和金鑰庫必須在同一區域、同一個 Microsoft Entra 租戶中,但它們可以屬於不同的訂閱。 如需 Azure Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault。
啟用客戶管理的金鑰
新的 Foundry 資源總是使用 Microsoft 管理的金鑰加密。 建立資源時,無法啟用客戶自控金鑰。 客戶管理的金鑰儲存在 Azure Key Vault。 金鑰庫必須配置存取政策,授予與 Foundry 資源相關的管理身份金鑰權限。 您必須先使用 CMK 的定價層建立資源,才可以使用受控識別。
欲了解如何使用客戶管理的金鑰與 Azure Key Vault 進行 Foundry Tools 加密,請參閱:
啟用客戶管理金鑰同時也啟用系統指派的管理身份,這是 Microsoft Entra ID 的一項功能。 一旦系統分配的管理身份啟用,該資源會註冊至 Microsoft Entra ID。 註冊後,受管理身份會獲得客戶管理金鑰設定時所選的金鑰庫存取權。 您可以深入了解受控識別。
重要事項
如果你停用系統指派的受管理身份,金鑰庫的存取權就會被移除,任何用客戶金鑰加密的資料也將無法存取。 任何依賴這些資料的功能都會停止運作。
重要事項
受控識別目前不支援跨目錄案例。 當在 Azure 入口網站中設定客戶自控金鑰時,系統會在幕後自動指派受控識別。 如果你將訂閱、資源群組或資源移到另一個 Microsoft Entra 目錄,該管理身份不會轉移到新的租戶。 因此,客戶管理的金鑰可能不再有效。 如需詳細資訊,請參閱 Azure 資源受控識別常見問題集與已知問題 中的 在 Microsoft Entra 目錄之間移轉訂閱。
將客戶自控金鑰儲存在 Azure Key Vault
若要啟用客戶自控金鑰,您必須使用 Azure Key Vault 儲存自己的金鑰。 您必須在金鑰保存庫上同時啟用虛刪除和不要清除屬性。
僅支持大小為 2048 的RSA 金鑰進行 Foundry Tools 加密。 欲了解更多關於金鑰的資訊,請參閱Key Vault 金鑰,見於關於 Azure Key Vault 金鑰、秘密與憑證。
輪替客戶自控金鑰
您可以根據您的合規性原則,在 Azure Key Vault 中輪替客戶管理的金鑰。 當金鑰被旋轉時,你必須更新 Foundry 資源以使用新的金鑰 URI。 欲了解如何在 Azure 入口網站中更新資源以使用新版本的金鑰,請參閱「使用 Azure 入口設定客戶管理金鑰以支援 Foundry 工具」中的「更新金鑰版本」的章節。
輪替金鑰不會觸發重新加密資源中的資料。 使用者不需要再做任何進一步的行動。
撤銷客戶自控金鑰的存取權
若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤銷存取實際上阻擋了 Foundry 資源中所有資料的存取,因為 Foundry 工具無法存取加密金鑰。