Crittografare i dati a riposo

Questo contenuto si applica a:segno di spuntav4.0 (GA)segno di spuntav3.1 (GA)segno di spunta rossov3.0 (ritiro)segno di spunta rossov2.1 (ritiro)

Importante

  • Le versioni precedenti delle chiavi gestite dal cliente (CMK) crittografavano solo i modelli.
  • 07/31/2023 A partire dalla versione, tutte le nuove risorse usano chiavi gestite dal cliente per crittografare sia i modelli che i risultati dei documenti.
  • Eliminare la risposta di analisi. analyze response viene archiviato per 24 ore da quando l'operazione viene completata per il recupero. Per gli scenari in cui si vuole eliminare prima la risposta, usare l'API di analisi dell'eliminazione della risposta per eliminare la risposta.
  • Per aggiornare un servizio esistente per crittografare i modelli e i dati, disabilitare e riabilitare la chiave gestita dal cliente.

Azure Document Intelligence in Foundry Tools crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud. La crittografia di Document Intelligence protegge i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione.

Informazioni sulla crittografia dei Foundry Tools

I dati vengono crittografati e decrittografati usando la crittografia AES a 256 bit conforme a FIPS 140-2. La crittografia e la decrittografia sono trasparenti, ovvero la crittografia e l'accesso vengono gestiti per l'utente. I dati sono protetti per impostazione predefinita. Non è necessario modificare il codice o le applicazioni per sfruttare i vantaggi della crittografia.

Informazioni sulla gestione delle chiavi di crittografia

Per impostazione predefinita, la sottoscrizione usa chiavi di crittografia gestite da Microsoft. È anche possibile gestire la sottoscrizione con chiavi personalizzate, denominate chiavi gestite dal cliente. Quando si usano chiavi gestite dal cliente, si ha maggiore flessibilità nel modo in cui si creano, ruotano, disabilitano e revocano i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati. Se le chiavi gestite dal cliente sono configurate per la sottoscrizione, viene fornita la doppia crittografia. Con questo secondo livello di protezione, è possibile controllare la chiave di crittografia tramite il Azure Key Vault.

Importante

  • Le chiavi gestite dal cliente sono disponibili solo per le risorse create dopo l'11 maggio 2020. Per usare chiavi gestite dal cliente con Document Intelligence, è necessario creare una nuova risorsa di Document Intelligence. Dopo aver creato la risorsa, è possibile usare Azure Key Vault per configurare l'identità gestita.
  • L'ambito per i dati crittografati con chiavi gestite dal cliente include l'oggetto analysis response archiviato per 24 ore, consentendo il recupero dei risultati dell'operazione durante il periodo di tempo di 24 ore.

Chiavi gestite dal cliente con Azure Key Vault

Quando si usano chiavi gestite dal cliente, è necessario usare Azure Key Vault per archiviarle. È possibile creare chiavi personalizzate e archiviarle in un key vault oppure usare le API Key Vault per generare le chiavi. La risorsa Strumenti Fonderia e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra ma possono essere in sottoscrizioni diverse. Per altre informazioni sulle Key Vault, vedere Che è Azure Key Vault?.

** Quando si crea una nuova risorsa Foundry Tools, viene sempre crittografata usando chiavi gestite da Microsoft. Non è possibile abilitare le chiavi gestite dal cliente quando si crea la risorsa. Le chiavi gestite dal cliente vengono archiviate in Key Vault. È necessario configurare la Key Vault con criteri di accesso che concedano le autorizzazioni delle chiavi all'identità gestita associata alla risorsa Foundry Tools. L'identità gestita è disponibile solo dopo la creazione della risorsa usando il piano tariffario necessario per le chiavi gestite dal cliente.

L'abilitazione delle chiavi gestite dal cliente abilita anche un'identità gestita dal sistema managed identity, una funzionalità di Microsoft Entra ID. Dopo aver abilitato l'identità gestita assegnata dal sistema, questa risorsa viene registrata con Microsoft Entra ID. Dopo la registrazione, all'identità gestita viene dato l'accesso al Key Vault selezionato durante la configurazione della chiave gestita dal cliente.

Importante

Se si disabilitano le identità gestite assegnate dal sistema, l'accesso al Key Vault viene rimosso e tutti i dati crittografati con le chiavi del cliente non sono più accessibili. Tutte le funzionalità che dipendono da questi dati non funzionano più.

Importante

Le identità gestite non supportano attualmente scenari tra directory. Quando si configurano chiavi gestite dal cliente nel portale di Azure, viene assegnata automaticamente un'identità gestita in background. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o la risorsa da una directory Microsoft Entra a un'altra, l'identità gestita associata alla risorsa non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory Microsoft Entra in FAQs e problemi noti relativi alle identità gestite per le risorse Azure.

Configurare Key Vault

Quando si usano chiavi gestite dal cliente, è necessario impostare due proprietà nel Key Vault delle chiavi: Eliminazione Soft e Non Eliminare. Queste proprietà non sono abilitate per impostazione predefinita, ma è possibile abilitarle in un insieme di credenziali delle chiavi nuovo o esistente usando il portale di Azure, PowerShell o interfaccia della riga di comando di Azure.

Importante

Se le proprietà Eliminazione morbida e Non eliminare definitivamente non sono abilitate e si elimina la chiave, non è possibile recuperare i dati nella risorsa Foundry Tools.

Per informazioni su come abilitare queste proprietà in un insieme di credenziali delle chiavi esistente, consultare Gestione del ripristino di Azure Key Vault con protezione dall’eliminazione temporanea e dalla rimozione definitiva.

Abilitare le chiavi gestite dal cliente per la risorsa

Per abilitare le chiavi gestite dal cliente nel portale di Azure, seguire questa procedura:

  1. Passare alla risorsa Foundry Tools.

  2. A sinistra selezionare Crittografia.

  3. In Tipo di crittografia selezionare Chiavi gestite dal cliente, come illustrato nello screenshot seguente.

    Screenshot della pagina Impostazioni di crittografia per una risorsa Foundry. In Tipo di crittografia è selezionata l'opzione Chiavi gestite dal cliente.

Specificare una chiave

Dopo aver abilitato le chiavi gestite dal cliente, è possibile specificare una chiave da associare alla risorsa Strumenti Fonderia.

Specificare una chiave come URI

Per specificare una chiave come URI, seguire questa procedura:

  1. Nel portale di Azure, vai al tuo Key Vault.

  2. In Impostazioni selezionare Chiavi.

  3. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione chiave per visualizzare le impostazioni per tale versione.

  4. Copiare il valore dell'identificatore di chiave , che fornisce l'URI.

    Screenshot della pagina del portale di Azure per una versione chiave. La casella Identificatore chiave contiene un segnaposto per un URI di chiave.

  5. Tornare alla risorsa Foundry Tools e quindi selezionare Crittografia.

  6. In Chiave di crittografia selezionare Immettere l'URI della chiave.

  7. Incollare l'URI copiato nella casella URI chiave .

    Screenshot della pagina Crittografia per una risorsa Foundry. L'opzione Inserisci URI chiave è selezionata e la casella URI chiave contiene un valore.

  8. In Sottoscrizione, selezionare la sottoscrizione che contiene il key vault.

  9. Salvare le modifiche.

Specificare una chiave da un archivio delle chiavi

Per specificare una chiave da un insieme di credenziali delle chiavi, assicurarsi innanzitutto di avere un insieme di credenziali che contenga una chiave. Seguire quindi questa procedura:

  1. Passare alla risorsa Foundry Toolsy e quindi selezionare Crittografia.

  2. In Chiave di crittografia selezionare Selezionare da Key Vault.

  3. Seleziona il key vault che contiene la chiave che desideri utilizzare.

  4. Selezionare la chiave da usare.

    Screenshot della pagina Selezionare chiave da Azure Key Vault nel portale di Azure. Le caselle Sottoscrizione, Insieme di credenziali delle chiavi, Chiave e Versione contengono valori.

  5. Salvare le modifiche.

Aggiornare la versione della chiave

Quando si crea una nuova versione di una chiave, aggiornare la risorsa Foundry Tools per usare la nuova versione. Seguire questa procedura:

  1. Passare alla risorsa Strumenti Foundry e quindi selezionare Crittografia.
  2. Immettere l'URI per la nuova versione della chiave. In alternativa, è possibile selezionare l'insieme di credenziali delle chiavi e quindi selezionare di nuovo la chiave per aggiornare la versione della chiave.
  3. Salvare le modifiche.

Usare una chiave diversa

Per modificare la chiave usata per la crittografia, seguire questa procedura:

  1. Passare alla risorsa Strumenti Foundry e quindi selezionare Crittografia.
  2. Immettere l'URI per la nuova chiave. In alternativa, puoi selezionare l'archivio chiavi e quindi selezionare una nuova chiave.
  3. Salvare le modifiche.

Gestire la rotazione delle chiavi gestite dal cliente

È possibile ruotare una chiave gestita dal cliente in Key Vault in base ai criteri di conformità. Quando la chiave viene ruotata, è necessario aggiornare la risorsa Strumenti Fonderia per usare il nuovo URI della chiave. Per informazioni su come aggiornare la risorsa per usare una nuova versione della chiave nel portale di Azure, vedere Aggiornare la versione della chiave.

La rotazione della chiave non attiva la ricrittografazione dei dati nella risorsa. Non è necessaria alcuna ulteriore azione da parte dell'utente.

Revocare l'accesso alle chiavi gestite dal cliente

Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o interfaccia della riga di comando di Azure. Per altre informazioni, vedere Azure Key Vault PowerShell o Azure Key Vault cli. La revoca dell'accesso blocca in modo efficace l'accesso a tutti i dati nella risorsa Foundry Tools, perché la chiave di crittografia non è accessibile da Foundry Tools.

Disabilitare le chiavi gestite dal cliente

Quando si disabilitano le chiavi gestite dal cliente, la risorsa Foundry Tools viene quindi crittografata con chiavi gestite da Microsoft. Per disabilitare le chiavi gestite dal cliente, seguire questa procedura:

  1. Passare alla risorsa Strumenti Foundry e quindi selezionare Crittografia.
  2. Deselezionare la casella di controllo accanto a Usa la propria chiave.

Passaggi successivi

  • Last updated on