QnA Maker での保存データの暗号化
QnA Maker を使うと、クラウドに永続化されるデータが自動的に暗号化されるので、組織のセキュリティとコンプライアンスの目標を達成するのに役立ちます。
Note
QnA Maker サービスは、2025 年 3 月 31 日に廃止される予定です。 Azure AI Language の一部として、質問応答機能の新しいバージョンが提供されました。 言語サービス内の質問応答機能については、質問応答に関する記事を参照してください。 QnA Maker の新しいリソースは、2022 年 10 月 1 日以降作成できません。 既存の QnA Maker のナレッジ ベースを質問応答に移行する方法については、移行ガイドを参照してください。
暗号化キーの管理について
サブスクリプションでは、Microsoft が管理する暗号化キーが既定で使用されます。 カスタマー マネージド キー (CMK) と呼ばれているユーザー独自のキーを使用してサブスクリプションを管理するオプションもあります。 CMK を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。 CMK がサブスクリプション用に構成されている場合は、Azure Key Vault で暗号化キーを制御しながら、2 つ目の保護レイヤーを提供する二重暗号化を利用できます。
QnA Maker では、Azure Search から CMK のサポートが使用されます。 Azure Key Vault を使用して Azure Search 内で CMK を構成します。 この Azure インスタンスを QnA Maker サービスに関連付けて、CMK を有効にする必要があります。
重要
Azure Search サービス リソースは 2019 年 1 月以降に作成されている必要があり、無料 (共有) レベルでは使用できません。 現在 Azure portal では、カスタマー マネージド キーの構成はサポートされていません。
カスタマー マネージド キーを有効にする
QnA Maker サービスでは、Azure Search サービスから CMK が使用されます。 CMK を有効にするには、次の手順に従います。
新しい Azure Search インスタンスを作成し、Azure AI Search でのカスタマー マネージド キーの前提条件に関する記事に記載されている前提条件に従います。
QnA Maker リソースを作成すると、Azure Search インスタンスに自動的に関連付けられます。 このインスタンスでは CMK を使用できません。 CMK を使用するには、手順 1 で新しく作成した Azure Search インスタンスを関連付ける必要があります。 具体的には、QnA Maker リソースの
AzureSearchAdminKeyとAzureSearchNameを更新する必要があります。
次に、新しいアプリケーション設定を作成します。
- 名前:
CustomerManagedEncryptionKeyUrl - 値: Azure Search インスタンスを作成する手順 1 で取得した値を使用します。
- 名前:
完了したら、ランタイムを再起動します。 これで、QnA Maker サービスで CMK が有効になりました。
リージョン別の提供状況
カスタマー マネージド キーは、すべての Azure Search リージョンで使用できます。
転送中のデータの暗号化
QnA Maker ポータルは、ユーザーのブラウザー上で実行されます。 どのアクションでも、各 Azure AI サービス API への直接呼び出しがトリガーされます。 そのため、QnA Maker では転送中のデータに対応しています。 ただし、QnA Maker ポータル サービスは米国西部でホストされており、まだ米国以外のお客様にとっては最適な状況ではありません。