保存データを暗号化する

このコンテンツは以下に適用されます:チェックマークv4.0 (GA)チェックマークv3.1 (GA)レッドチェックマークv3.0 (廃止)レッドチェックマークv2.1 (廃止)

重要

  • 以前のバージョンのカスタマー マネージド キー (CMK) では、モデルのみが暗号化されました。
  • 07/31/2023 リリース以降、すべての新しいリソースはカスタマー マネージド キーを使用して、モデルとドキュメントの結果の両方を暗号化します。
  • 分析応答を削除しますanalyze responseは、取得のために操作が完了した時点から 24 時間保存されます。 応答をより早く削除するシナリオの場合は、delete 分析応答 API を使用して応答を削除します。
  • モデルとデータの両方を暗号化するように既存のサービスをアップグレードするには、カスタマー マネージド キーを無効にして再度有効化します。

Azure ドキュメント インテリジェンスは、Foundry Tools でデータをクラウドに永続化する際に、自動的に暗号化します。 ドキュメント インテリジェンス暗号化は、組織のセキュリティとコンプライアンスのコミットメントを満たすのに役立つデータを保護します。

Foundry Tools の暗号化について

データは、 FIPS 140-2 準拠の256 ビット AES 暗号化を使用して暗号化および復号化されます。 暗号化と暗号化解除は透過的であり、暗号化とアクセスは自動的に管理されます。 既定では、データはセキュリティで保護されています。 暗号化を利用するためにコードやアプリケーションを変更する必要はありません。

暗号化キーの管理について

既定では、サブスクリプションではMicrosoftマネージド暗号化キーが使用されます。 サブスクリプションは、カスタマー マネージド キーと呼ばれる独自のキーで管理することもできます。 カスタマー マネージド キーを使用すると、アクセス制御を作成、ローテーション、無効化、取り消す方法の柔軟性が向上します。 また、データの保護に使用する暗号化キーを監査することもできます。 サブスクリプションに対してカスタマー マネージド キーが構成されている場合は、二重暗号化が提供されます。 この第 2 の保護レイヤーでは、Azure Key Vaultを使用して暗号化キーを制御できます。

重要

  • カスタマー マネージド キーは、2020 年 5 月 11 日以降に作成された使用可能なリソースのみです。 ドキュメント インテリジェンスでカスタマー マネージド キーを使用するには、新しいドキュメント インテリジェンス リソースを作成する必要があります。 リソースが作成されたら、Azure Key Vaultを使用してマネージド ID を設定できます。
  • カスタマー マネージド キーで暗号化されたデータのスコープには、24 時間格納された analysis response が含まれるため、その 24 時間の期間中に操作結果を取得できます。

Azure Key Vaultを使用したカスタマー マネージド キー

カスタマー マネージド キーを使用する場合は、Azure Key Vaultを使用してキーを格納する必要があります。 独自のキーを作成してkey vaultに格納することも、Key Vault API を使用してキーを生成することもできます。 Foundry Tools リソースとキー コンテナーは、同じリージョンと同じMicrosoft Entra テナント内に存在する必要がありますが、異なるサブスクリプションに存在する可能性があります。 Key Vaultの詳細については、「Azure Key Vaultとは?を参照してください。

新しい Foundry Tools リソースを作成すると、Microsoftマネージド キーを使用して常に暗号化されます。 リソースを作成するときにカスタマー マネージド キーを有効にすることはできません。 カスタマー マネージド キーは、Key Vaultに格納されます。 Foundry Tools リソースに関連付けられているマネージド ID にキーのアクセス許可を付与するアクセス ポリシーを使用して、キー コンテナーをプロビジョニングする必要があります。 マネージド ID は、カスタマー マネージド キーに必要な価格レベルを使用してリソースが作成された後にのみ使用できます。

カスタマー マネージド キーを有効にすると、Microsoft Entra IDの機能であるシステム割り当て 管理 ID も有効になります。 システム割り当てマネージド ID が有効になった後、このリソースはMicrosoft Entra IDに登録されます。 登録後、マネージド ID には、カスタマー マネージド キーのセットアップ中に選択されたキー コンテナーへのアクセス権が付与されます。

重要

システム割り当てマネージド ID を無効にした場合、キー コンテナーへのアクセスは削除され、カスタマー キーで暗号化されたデータにはアクセスできなくなります。 このデータに依存するすべての機能は動作を停止します。

重要

マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。 Azure ポータルでカスタマー マネージド キーを構成すると、マネージド ID がバックグラウンドで自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはリソースを 1 つのMicrosoft Entra ディレクトリから別のディレクトリに移動した場合、リソースに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなる可能性があります。 詳細については、「FAQ」の「Microsoft Entra ディレクトリ間のサブスクリプションの転送と、Azure リソースのマネージド ID に関する既知の問題を参照してください。

Key Vaultの構成

カスタマー マネージド キーを使用する場合は、キー コンテナーに 2 つのプロパティ ( 論理的な削除消去不可) を設定する必要があります。 これらのプロパティは既定では有効になっていませんが、Azure ポータル、PowerShell、またはAzure CLIを使用して、新規または既存のキー コンテナーで有効にすることができます。

重要

論理的な削除プロパティと Do Not Purge プロパティが有効でなく、キーを削除した場合、Foundry Tools リソース内のデータを回復することはできません。

既存のキーの保管庫でこれらのプロパティを有効にする方法については、「Azure Key Vault ソフト削除とパージ保護を使用した復旧管理」を参照してください。

リソースのカスタマー マネージド キーを有効にする

Azure ポータルでカスタマー マネージド キーを有効にするには、次の手順に従います。

  1. Foundry Tools リソースに移動します。

  2. 左側の [ 暗号化] を選択します。

  3. スクリーンショットに示すように、[暗号化の種類] で [ カスタマー マネージド キー] を選択します。

    Foundry リソースの [暗号化設定] ページのスクリーンショット。[暗号化の種類] で、[カスタマー マネージド キー] オプションが選択されています。

キーを指定する

カスタマー マネージド キーを有効にしたら、Foundry Tools リソースに関連付けるキーを指定できます。

キーを URI として指定する

キーを URI として指定するには、次の手順に従います。

  1. Azure ポータルで、キー ボールトに移動します。

  2. [設定][キー] を選択します。

  3. 目的のキーを選択し、キーを選択してそのバージョンを表示します。 キー バージョンを選択して、そのバージョンの設定を表示します。

  4. URI を提供する キー識別子 の値をコピーします。

    Azure ポータルのキー バージョン ページのスクリーンショット。[キー識別子] ボックスにはキー URI のプレースホルダーが含まれています。

  5. Foundry Tools リソースに戻り、[ 暗号化] を選択します。

  6. [ 暗号化キー] で、[ キー URI の入力] を選択します。

  7. コピーした URI を [ キー URI ] ボックスに貼り付けます。

    Foundry リソースの [暗号化] ページのスクリーンショット。[キー URI の入力] オプションが選択され、[キー URI] ボックスに値が含まれています。

  8. サブスクリプションで、キーボールトを含むサブスクリプションを選択します。

  9. 変更を保存します。

キー ボールトからキーを指定する

キー コンテナーからキーを指定するには、まず、キーを含むキー コンテナーがあることを確認します。 次に、次の手順に従います。

  1. Foundry Tools リソースに移動し、[ 暗号化] を選択します。

  2. [暗号化キー] で、[Key Vault から選ぶ] を選択します。

  3. 使用するキーを含むキーボールトを選択します。

  4. 使用するキーを選択します。

    Azure ポータルの [Azure Key Vault からのキーの選択] ページのスクリーンショット。[サブスクリプション]、[キー コンテナー]、[キー]、および [バージョン] ボックスには値が含まれています。

  5. 変更を保存します。

キーのバージョンを更新する

新しいバージョンのキーを作成するときに、Foundry Tools リソースを更新して新しいバージョンを使用します。 次の手順に従います。

  1. Foundry Tools リソースに移動し、[ 暗号化] を選択します。
  2. 新しいキー バージョンの URI を入力します。 または、キー コンテナーを選択し、もう一度キーを選択してバージョンを更新することもできます。
  3. 変更を保存します。

別のキーを使用する

暗号化に使用するキーを変更するには、次の手順に従います。

  1. Foundry Tools リソースに移動し、[ 暗号化] を選択します。
  2. 新しいキーの URI を入力します。 または、キー保管庫を選択し、新しいキーを選択することもできます。
  3. 変更を保存します。

カスタマー マネージド キーをローテーションする

コンプライアンス ポリシーに従って、Key Vaultでカスタマー マネージド キーをローテーションできます。 キーがローテーションされたら、Foundry Tools リソースを更新して新しいキー URI を使用する必要があります。 Azure ポータルで新しいバージョンのキーを使用するようにリソースを更新する方法については、「キーのバージョンの更新を参照してください。

キーをローテーションしても、リソース内のデータの再暗号化はトリガーされません。 ユーザーからそれ以上の操作は必要ありません。

カスタマー マネージド キーへのアクセスを取り消す

カスタマー マネージド キーへのアクセスを取り消すには、PowerShell またはAzure CLIを使用します。 詳細については、「Azure Key Vault PowerShell または Azure Key Vault CLI を参照してください。 Foundry Tools リソースでは暗号化キーにアクセスできないため、アクセスを取り消すことで、Foundry Tools リソース内のすべてのデータへのアクセスが事実上ブロックされます。

カスタマー マネージド キーを無効にする

カスタマー マネージド キーを無効にすると、Foundry Tools リソースは Microsoft マネージド キーで暗号化されます。 カスタマー マネージド キーを無効にするには、次の手順に従います。

  1. Foundry Tools リソースに移動し、[ 暗号化] を選択します。
  2. [ 独自のキーを使用する] の横にあるチェック ボックスをオフにします。

次の手順

  • Azure Key Vault
  • Last updated on