自定义问答在保存到云时自动加密数据,帮助实现组织安全性和合规性目标。
关于加密密钥管理
默认情况下,订阅使用 Azure 管理的加密密钥。 还可以选择使用称为客户管理密钥(CMK)的密钥来管理资源。 使用 CMK,可更加灵活地创建、轮换、禁用和撤销访问控制。 此外,你还可以审核用于保护数据的加密密钥。 如果为订阅配置 CMK,则会获得双重加密,提供第二层保护,同时还可以通过 Azure Key Vault 来控制加密密钥。
自定义问题解答使用 Azure 搜索中的 CMK 支持,并关联提供的 CMK,以便对 Azure 搜索索引中存储的数据加密。 按照 本文 中列出的步骤作,并为 Azure 搜索服务配置 Key Vault 访问权限。
注意
每当轮换 CMK 时,请确保密钥的旧版本与新版本之间存在重叠。 在此期间,应同时启用这两个版本,并且不会过期。
重要
Azure 搜索服务资源必须在 2019 年 1 月之后创建,并且不能位于免费(共享)层中。 不支持在 Azure 门户中配置客户管理的密钥。
启用客户管理的密钥
按照以下步骤启用 CMKs:
- 转到你的语言资源的“加密”选项卡,并启用自定义问答。
- 选择“客户管理的密钥”选项。 提供客户管理的密钥的详细信息,然后选择“保存”。
- 成功保存后,CMK 用于加密 Azure 搜索索引中存储的数据。
重要
建议在全新的 Azure AI 搜索服务中设置您的 CMK,之后再创建任何项目。 如果你在已有项目的语言资源中设置 CMK,可能会失去对它们的访问权限。 了解有关在 Azure AI 搜索中使用加密内容的详细信息。
区域可用性
所有 Azure 搜索区域均可使用客户管理的密钥。
传输中的数据加密
每个操作都会触发直接调用相应的 Azure AI 服务 API。 因此,对于传输中的数据,自定义问题解答是合规的。