Criptografia do serviço de Reconhecimento vocal de dados inativos

Importante

O LUIS será desativado em 1º de outubro de 2025 e, a partir de 1º de abril de 2023, você não poderá criar novos recursos do LUIS. É recomendável migrar seus aplicativos LUIS para a compreensão da linguagem coloquial a fim de usufruir do suporte contínuo ao produto e dos recursos multilíngues.

O serviço de Reconhecimento vocal criptografa automaticamente os dados quando eles são persistidos na nuvem. A criptografia do serviço de Reconhecimento vocal protege seus dados e ajuda você a atender aos compromissos de conformidade e segurança de sua organização.

Sobre a criptografia dos Serviços de IA do Azure

Os dados são criptografados e descriptografados usando a criptografia AES de 256 bits em conformidade com o padrão FIPS 140-2. A criptografia e a descriptografia são transparentes, o que significa que a criptografia e o acesso são gerenciados para você. Como os dados são protegidos por padrão, você não precisa modificar seu código ou seus aplicativos para aproveitar a criptografia.

Sobre o gerenciamento de chaves de criptografia

Por padrão, sua assinatura usa chaves de criptografia gerenciadas pela Microsoft. Também existe a opção de gerenciar sua assinatura com suas próprias chaves, chamadas chaves gerenciadas pelo cliente (CMKs). As CMKs oferecem maior flexibilidade para criar, alternar, desabilitar e revogar controles de acesso. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Chaves gerenciadas pelo cliente com o Azure Key Vault

Também há uma opção para gerenciar sua assinatura com as próprias chaves. As chaves gerenciadas pelo cliente (CMKs), também conhecidas como Bring your own key (BYOK), oferecem maior flexibilidade para criar, girar, desativar e revogar controles de acesso. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O recurso de serviços de IA do Azure e o cofre de chaves devem estar na mesma região e no mesmo locatário do Microsoft Entra, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.

Imagem da assinatura do LUIS

Limitações

Há algumas limitações no uso da camada E0 com aplicativos existentes/criados anteriormente:

  • A migração para um recurso da E0 será bloqueada. Os usuários só poderão migrar os aplicativos deles para os recursos de F0. Depois de migrar um recurso existente para a F0, você pode criar um recurso na camada E0.
  • A migração de aplicativos entre um recurso ao E0 será bloqueada. Uma solução alternativa para essa limitação é exportar seu aplicativo existente e importá-lo como um recurso E0.
  • Não há suporte para o recurso de verificação ortográfica do Bing.
  • O registro em log do tráfego do usuário final será desabilitado se o seu aplicativo for da E0.
  • O recurso de preparação de fala do Serviço de Bot de IA do Azure não tem suporte para aplicativos na camada E0. Esse recurso está disponível por meio do Serviço de Bot de IA do Azure, que não é compatível com CMK.
  • A funcionalidade de priming de fala do portal requer o Armazenamento de Blobs do Azure. Para obter mais informações, confira traga o próprio armazenamento.

Habilitar chaves gerenciadas pelo cliente

Um novo recurso dos serviços de IA do Azure sempre é criptografado usando as chaves gerenciadas pela Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente no momento em que o recurso é criado. As chaves gerenciadas pelo cliente são armazenadas no Azure Key Vault, e o cofre de chaves deve ser provisionado com políticas de acesso que concedam permissões de chave à identidade gerenciada que está associada ao recurso de serviços de IA do Azure. A identidade gerenciada está disponível somente depois que o recurso é criado usando o tipo de preço para a CMK.

Para saber como usar chaves gerenciadas pelo cliente com o Azure Key Vault para a criptografia dos serviços de IA do Azure, consulte:

Habilitar chaves gerenciadas pelo cliente também habilitará uma identidade gerenciada atribuída pelo sistema, um recurso da Microsoft Entra ID. Depois que a identidade gerenciada atribuída pelo sistema estiver habilitada, esse recurso será registrado com o Microsoft Entra ID. Depois de ser registrada, a identidade gerenciada receberá acesso ao Key Vault selecionado durante a configuração de chave gerenciada pelo cliente. Saiba mais sobre Identidades gerenciadas.

Importante

Se você desabilitar as identidades gerenciadas atribuídas ao sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos dependentes desses dados deixarão de funcionar.

Importante

Identidades gerenciadas não têm suporte a cenários entre diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente aos recursos nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Como transferir uma assinatura entre diretórios do Microsoft Entra em perguntas frequentes e problemas conhecidos com identidades gerenciadas para recursos do Azure.

Armazenar chaves gerenciadas pelo cliente no Azure Key Vault

Para habilitar chaves gerenciadas pelo cliente, você precisa usar um Azure Key Vault para armazenar suas chaves. Habilite as propriedades Exclusão Temporária e Não Limpar no cofre de chaves.

Apenas chaves RSA de tamanho 2048 têm suporte para a criptografia dos serviços de IA do Azure. Para obter mais informações sobre chaves, confira Chaves do Key Vault em Sobre chaves, segredos e certificados do Azure Key Vault.

Fazer a rotação de chaves gerenciadas pelo cliente

Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Quando a chave for rotacionada, você deverá atualizar o recurso dos serviços de IA do Azure para utilizar o novo URI de chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, consulte a seção intitulada Atualizar a versão da chave em Configurar chaves gerenciadas pelo cliente para os serviços de IA do Azure utilizando o portal do Azure.

A rotação da chave não dispara uma nova criptografia dos dados no recurso. Nenhuma ação adicional necessária pelo usuário.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso às chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, confira PowerShell do Azure Key Vault ou CLI do Azure Key Vault. A revogação do acesso bloqueia efetivamente o acesso a todos os dados no recurso dos serviços de IA do Azure, pois a chave de criptografia é inacessível pelos serviços de IA do Azure.

Próximas etapas