Configurare le chiavi gestite dal cliente per Azure AI Search dati crittografati

L'abilitazione delle chiavi gestite dal cliente (CMK) aggiunge sicurezza aggiuntiva sulla crittografia dei dati inattivi predefinita quando si usano chiavi gestite da Microsoft. Quando si abilita cmk, si controllano le chiavi di crittografia usate per proteggere i dati, inclusa la possibilità di:

Ruotare le chiavi in base a una pianificazione definita dal cliente
Disabilitare o revocare le chiavi per bloccare l'accesso al contenuto crittografato (le chiavi memorizzate nella cache possono essere persistenti per un massimo di 60 minuti)
Controllare l'utilizzo delle chiavi tramite la registrazione di Azure Key Vault

È possibile creare, archiviare e gestire le chiavi usando:

Azure Key Vault
Modulo di protezione hardware gestito di Azure Key Vault (modulo di protezione hardware) Un modulo di protezione hardware gestito di Azure Key Vault è un modulo di protezione hardware convalidato FIPS 140-2 livello 3. Per eseguire la migrazione da Azure Key Vault a HSM, rotate le chiavi e scegliere HSM gestito per l'archiviazione.

Questo articolo illustra come configurare cmk per una protezione aggiuntiva dei dati crittografati in Azure AI Search.

Importante

L'aggiunta di una chiave gestita dal cliente (CMK) si applica alla crittografia dei dati inattivi. Se è necessario proteggere i dati in uso, è consigliabile usare il confidential computing.

Configurare la CMK sugli oggetti di Azure AI Search

Gli oggetti con dati crittografati che possono essere configurati con una chiave gestita dal cliente includono indici, elenchi sinonimi, indicizzatori, origini dati, vettori e set di competenze. La crittografia è dispendiosa a livello di calcolo per decrittografare in modo che solo il contenuto sensibile sia crittografato.

La crittografia viene eseguita su:

Tutto il contenuto all'interno di indici ed elenchi di sinonimi.
Contenuto sensibile in indicizzatori, origini dati, set di competenze e vettorizzatori. Il contenuto sensibile si riferisce a stringhe di connessione, descrizioni, identità, chiavi e input utente. Ad esempio, i set di competenze hanno chiavi degli strumenti di fonderia e alcune competenze accettano input utente, come le entità personalizzate. In entrambi i casi, le chiavi e gli input dell'utente vengono crittografati. Vengono crittografati anche eventuali riferimenti a risorse esterne, ad esempio Azure origini dati o Azure modelli OpenAI.

L'aggiunta di una chiave gestita dal cliente a un oggetto deve verificarsi quando l'oggetto viene appena creato. È importante tenere presente quanto segue:

Non è possibile aggiungere retroattivamente una CMK a un oggetto esistente. Se si vuole aggiungere una chiave gestita dal cliente a un oggetto esistente, è necessario eliminare e ricreare l'oggetto con la crittografia abilitata.
Dopo aver configurato la CMK (chiave gestita dal cliente), la crittografia avviene ogni volta che il servizio scrive dati, inclusi i dati a riposo (archiviazione a lungo termine) o i dati temporanei memorizzati nella cache (archiviazione a breve termine). Per oggetti come origini dati, indicizzatori e set di competenze, la definizione dell'oggetto viene crittografata. Per gli indici, i documenti indicizzati stessi (non solo lo schema dell'indice) vengono crittografati.
Anche se non è possibile aggiungere la crittografia a un oggetto esistente, una volta configurato un oggetto per la crittografia, è possibile modificare tutte le parti della relativa definizione di crittografia, incluso il passaggio a un insieme di credenziali delle chiavi diverso o all'archiviazione HMS purché la risorsa si trovi nello stesso tenant.
La crittografia con un CMK (chiave gestita dal cliente) è irreversibile. È possibile ruotare le chiavi e modificare la configurazione della chiave gestita dal cliente, ma la crittografia dell'indice dura per tutta la durata dell'indice. Dopo la crittografia con cmk, un indice è accessibile solo se il servizio di ricerca ha accesso alla chiave. Se si revoca l'accesso alla chiave eliminando o modificando l'assegnazione di ruolo, l'indice non è utilizzabile e il servizio non può essere ridimensionato finché l'indice non viene eliminato o non viene ripristinato l'accesso alla chiave. Se si eliminano o si ruotano le chiavi, la chiave più recente viene memorizzata nella cache per un massimo di 60 minuti.
Se è necessaria la chiave gestita dal cliente nel servizio di ricerca, impostare un criterio di imposizione.
L'applicazione della Chiave gestita dal cliente tramite Criteri di Azure e la configurazione della CMK a livello di servizio (ancora in anteprima) sono impostazioni indipendenti. È possibile usare uno o entrambi, a seconda delle esigenze. La configurazione CMK a livello di servizio applica una chiave predefinita ai nuovi oggetti, mentre l'imposizione di Criteri di Azure garantisce che tutti gli oggetti conformino ai requisiti di crittografia. Se si abilita un criterio di imposizione della chiave cmk senza una chiave a livello di servizio, tutti gli oggetti abilitati per cmk devono specificare la propria chiave di crittografia in fase di creazione. Le richieste di creazione di oggetti che omettono la configurazione cmk hanno esito negativo.

Abilitare CMK di livello di servizio sui nuovi oggetti per impostazione predefinita (anteprima)

Annotazioni

Questa funzionalità è attualmente disponibile in anteprima pubblica. Questa anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere Condizioni aggiuntive per l'utilizzo delle anteprime di Microsoft Azure.

A partire dalla versione 2026-03-01-preview, è possibile configurare una chiave gestita dal cliente a livello di servizi nel servizio Azure AI Search stesso. Questa funzionalità consente di configurare la chiave una sola volta a livello di servizio e di applicarla a tutti gli oggetti appena creati per impostazione predefinita. Ciò garantisce che tutti i dati sensibili nel servizio di ricerca siano protetti da una chiave che si controlla, senza dover specificare le informazioni sulla chiave ogni volta che viene creato un oggetto.

L'abilitazione della chiave gestita dal cliente (CMK) a livello di servizio comporta:

Tutti gli oggetti new creati nel servizio Azure AI Search usano automaticamente la chiave gestita dal cliente a livello di servizio per impostazione predefinita, pertanto non è più necessario specificare in modo esplicito i dettagli della chiave di crittografia ogni volta che si crea un oggetto.
Questa funzionalità è facoltativa ed è possibile continuare a configurare cmk per ogni oggetto. È anche possibile eseguire l'override della chiave a livello di servizio per singoli oggetti e ruotare la chiave a livello di servizio in modo indipendente, consentendo di usare chiavi diverse per oggetti diversi in base alle esigenze.

È anche possibile ruotare questa chiave predefinita specificando una nuova chiave, specifica dell'oggetto che si sta creando. La chiave a livello di oggetto specificata eseguirà l'override della chiave a livello di servizio predefinita per tale oggetto.

Prerequisiti

Ricerca di intelligenza artificiale di Azure in un livello fatturabile (Basic o superiore, in qualsiasi area).
Azure Key Vault e un insieme di credenziali delle chiavi con soft-delete e protezione dall'eliminazione definitiva abilitato. In alternativa, Azure Key Vault Managed HSM. Questa risorsa può trovarsi in qualsiasi sottoscrizione e in un tenant diverso. Queste istruzioni presuppongono un singolo tenant. Per la configurazione tra tenant, vedere Configurare chiavi gestite dal cliente in tenant diversi.
Possibilità di configurare le autorizzazioni per l'accesso alle chiavi e di assegnare ruoli. Per creare chiavi, è necessario essere Key Vault Crypto Officer in Azure Key Vault o Managed HSM Crypto Officer in Azure Key Vault HSM gestito.

Per assegnare i ruoli, è necessario essere proprietario della sottoscrizione, amministratore accesso utenti, amministratore controllo degli accessi in base al ruolo o essere assegnato a un ruolo personalizzato con autorizzazioni Microsoft.Authorization/roleAssignments/write.

Passaggio 1: Creare una chiave di crittografia

Usare Azure Key Vault o Azure Key Vault HSM gestito per creare una chiave. Azure AI Search crittografia supporta le chiavi RSA di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiave supportati, vedere Informazioni sulle chiavi.

Prima di iniziare, è consigliabile esaminare questi suggerimenti .

Le operazioni necessarie sono Wrap, Unwrap, Encrypt e Decrypt.

Azure Key Vault
HSM gestito

È possibile creare un Key Vault usando il portale di Azure, interfaccia della riga di comando di Azure o Azure PowerShell.

Vai al tuo Key Vault nel portale Azure.
Selezionare Oggetti>Chiavi a sinistra, e quindi Genera/Importa.
Nel riquadro Crea una chiave dall'elenco Opzioni, scegliere Generare per creare una chiave.
Immettere un nome per la chiave e accettare le impostazioni predefinite per altre proprietà della chiave.
Facoltativamente, impostare un criterio di rotazione delle chiavi per abilitare la rotazione automatica.
Selezionare Crea per avviare la distribuzione.
Dopo aver creato la chiave, ottenere il relativo ID chiave. Selezionare la chiave, selezionare la versione corrente e quindi copiare l'identificatore di chiave. È composto dall'URI del valore della chiave, dal nome della chiave e dalla versione della chiave. È necessario l'identificatore per definire un indice crittografato in Azure AI Search. Tenere presente che le operazioni necessarie sono Wrap, Unwrap, Encrypt e Decrypt.

Passaggio 2: Creare un'entità di sicurezza

Creare un'entità di sicurezza usata dal servizio di ricerca per accedere alla chiave di crittografia. È possibile usare un'identità gestita e un'assegnazione di ruolo oppure registrare un'applicazione e fare in modo che il servizio di ricerca fornisca l'ID applicazione alle richieste.

Usare un'identità gestita e i ruoli. È possibile usare un'identità gestita dal sistema o un'identità gestita dall'utente. Un'identità gestita consente al servizio di ricerca di eseguire l'autenticazione tramite Microsoft Entra ID, senza archiviare le credenziali (ApplicationID o ApplicationSecret) nel codice. Il ciclo di vita di questo tipo di identità gestita è associato al ciclo di vita del servizio di ricerca, che può avere un'unica identità gestita assegnata dal sistema. Per altre informazioni sul funzionamento delle identità gestite, vedere Cosa sono le identità gestite per le risorse di Azure.

Abilitare l'identità gestita assegnata dal sistema per il servizio di ricerca. Si tratta di un'operazione con due clic: abilitare e salvare.

Passaggio 3: concedere le autorizzazioni

Se il servizio di ricerca è stato configurato per l'uso di un'identità gestita, assegnare ruoli che gli consentono di accedere alla chiave di crittografia.

Il controllo degli accessi in base al ruolo è consigliato tramite il modello di autorizzazione Criterio di accesso. Per ulteriori informazioni o passaggi di migrazione, consultare il controllo degli accessi in base al ruolo di Azure (Azure RBAC) rispetto ai criteri di accesso (legacy).

Passare al Key Vault nel portale Azure.
Selezionare Controllo di accesso (IAM) e selezionare Aggiungere assegnazione di ruolo.
Selezionare un ruolo:
- In Azure Key Vault, selezionare Utente del servizio di crittografia Key Vault.
- In HSM gestito, selezionare Managed HSM Crypto Service Encryption User (Utente crittografia del servizio di protezione hardware gestito).
Selezionare identità gestite, selezionare membri e quindi selezionare l'identità gestita del servizio di ricerca. Se si esegue il test in locale, assegnare questo ruolo anche a se stessi.
Selezionare Rivedi e assegna.

Attendere alcuni minuti prima che l'assegnazione di ruolo diventi operativa.

Passaggio 4: Aggiungere informazioni sulla chiave di crittografia agli oggetti Azure AI Search

Quando si crea un oggetto crittografato, immettere l'URI dell'insieme di credenziali delle chiavi, il nome della chiave e la versione della chiave. Se si usa un'applicazione Microsoft Entra ID per l'autenticazione, immettere anche l'ID applicazione e il segreto.

È possibile configurare nuovi oggetti di ricerca con una chiave gestita dal cliente a livello di servizio o a livello di oggetto. Quando si configura CMK a livello di servizio, per impostazione predefinita si applica la stessa chiave a tutti gli oggetti appena creati nel servizio, a meno che non si specifichi una chiave a livello di oggetto diversa per eseguire l'override del valore predefinito a livello di servizio.

Specificare la chiave gestita dal cliente nella definizione dell'oggetto quando si crea un oggetto crittografato. Questo oggetto può essere un indice, un indicizzatore, un'origine dati, un set di competenze, un vettore o una mappa sinonimo.

Per configurare CMK su un oggetto, usare il portale di Azure, le Search Service REST APIs o un Azure SDK.

Quando si crea un nuovo oggetto nel portale di Azure, è possibile specificare una chiave predefinita gestita dal cliente in un Key Vault. Il portale di Azure consente di abilitare la crittografia con una chiave gestita dal cliente (CMK) per:

Indici
Origini dati
Indicizzatori

Per usare il portale di Azure, l'insieme di credenziali di chiavi e la chiave devono essere presenti, ed è necessario completare i passaggi precedenti per l'accesso autorizzato alla chiave.

Nel portale di Azure i set di competenze sono definiti nella visualizzazione JSON. Usare il codice JSON illustrato negli esempi dell'API REST per fornire una chiave gestita dal cliente in un set di competenze.

Passare al servizio di ricerca nel portale Azure.
In Gestione ricerca selezionare Indici, Indicizzatori o Origini dati.
Aggiungere un nuovo oggetto. Nella definizione dell'oggetto, selezionare crittografia gestita da Microsoft.
Selezionare Chiavi gestite dal cliente e scegliere la sottoscrizione, l'insieme di credenziali, la chiave e la versione.

Chiamare le API di creazione per specificare la proprietà encryptionKey:

Inserire il costrutto encryptionKey nella definizione dell'oggetto. Questa proprietà è una proprietà di primo livello, allo stesso livello del nome e della descrizione. Se si usa lo stesso insieme di credenziali, chiave e versione, è possibile incollare lo stesso costrutto "encryptionKey" in ogni definizione di oggetto.

Se l'ID chiave è https://contoso-keyvault.vault.azure.net/keys/contoso-cmk/aaaaaaaa-0b0b-1c1c-2d2d-333333333333, l'URI è https://contoso-keyvault.vault.azure.net, il nome della chiave è contoso-cmk e la versione è aaaaaaaa-0b0b-1c1c-2d2d-333333333333.

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
    "identity" : { 
        "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
        "userAssignedIdentity" : "/subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>"
    }
  }
}

Il primo esempio mostra una "encryptionKey" per un servizio di ricerca che si connette usando un'identità gestita:

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>"
  }
}

Il secondo esempio include accessCredentials, necessario se è stata registrata un'applicazione in Microsoft Entra ID:

{
  "encryptionKey": {
    "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
    "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
    "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
    "accessCredentials": {
      "applicationId": "<YOUR-APPLICATION-ID>",
      "applicationSecret": "<YOUR-APPLICATION-SECRET>"
    }
  }
}

Verificare che la chiave di crittografia esista eseguendo un get sull'oggetto .
Verificare che l'oggetto sia operativo eseguendo un'attività, ad esempio eseguire una query su un indice crittografato.

Dopo aver creato l'oggetto crittografato nel servizio di ricerca, è possibile usarlo come qualsiasi altro oggetto del relativo tipo. La crittografia è trasparente per l'utente e lo sviluppatore.

Nessuno di questi dettagli dell'insieme di credenziali chiave è considerato segreto e può essere facilmente recuperato accedendo alla pagina pertinente di Azure Key Vault nel portale di Azure.

La configurazione della chiave gestita dal cliente (CMK) su oggetti di ricerca è supportata nei pacchetti Azure SDK, tra cui Azure SDK per .NET, Azure SDK per Java, Azure SDK per JavaScript e Azure SDK per Python.

Nell'esempio seguente viene illustrata la rappresentazione Python di un encryptionKey in una definizione di oggetto. La stessa definizione si applica agli indici, alle origini dati, ai set di competenze, agli indicizzatori e alle mappe sinonimiche. Per provare questo esempio nel servizio di ricerca e nel Key Vault, scaricare il notebook da azure-search-python-samples.

Installare alcuni pacchetti.

! pip install python-dotenv
! pip install azure-core
! pip install azure-search-documents==11.5.1
! pip install azure-identity

Creare un indice con una chiave di crittografia.

from azure.search.documents.indexes import SearchIndexClient
from azure.search.documents.indexes.models import (
SimpleField,
SearchFieldDataType,
SearchableField,
SearchIndex,
SearchResourceEncryptionKey
)
from azure.identity import DefaultAzureCredential

endpoint="<PUT YOUR AZURE SEARCH SERVICE ENDPOINT HERE>"
credential = DefaultAzureCredential()

index_name = "test-cmk-index"
index_client = SearchIndexClient(endpoint=endpoint, credential=credential)
fields = [
SimpleField(name="Id", type=SearchFieldDataType.String, key=True),
SearchableField(name="Description", type=SearchFieldDataType.String)
]

scoring_profiles = []
suggester = []
encryption_key = SearchResourceEncryptionKey(
key_name="<PUT YOUR KEY VAULT NAME HERE>",
key_version="<PUT YOUR ALPHANUMERIC KEY VERSION HERE>",
vault_uri
)

index = SearchIndex(name=index_name, fields=fields, encryption_key=encryption_key)
result = index_client.create_or_update_index(index)
print(f' {result.name} created')

Ottenere la definizione dell'indice per verificare l'esistenza della configurazione della chiave di crittografia.

index_name = "test-cmk-index-qs"
index_client = SearchIndexClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)  

result = index_client.get_index(index_name)  
print(f"{result}")

Caricare l'indice con alcuni documenti. Tutto il contenuto del campo viene considerato sensibile e crittografato su disco usando la chiave gestita dal cliente.

from azure.search.documents import SearchClient

# Create a documents payload
documents = [
    {
    "@search.action": "upload",
    "Id": "1",
    "Description": "The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities."
    },
    {
    "@search.action": "upload",
    "Id": "2",
    "Description": "The hotel is situated in a  nineteenth century plaza, which has been expanded and renovated to the highest architectural standards to create a modern, functional and first-class hotel in which art and unique historical elements coexist with the most modern comforts."
    },
    {
    "@search.action": "upload",
    "Id": "3",
    "Description": "The hotel stands out for its gastronomic excellence under the management of William Dough, who advises on and oversees all of the Hotel's restaurant services."
    },
    {
    "@search.action": "upload",
    "Id": "4",
    "Description": "The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace."
    }
]

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, index_name=index_name, credential=credential)
try:
    result = search_client.upload_documents(documents=documents)
    print("Upload of new document succeeded: {}".format(result[0].succeeded))
except Exception as ex:
    print (ex.message)

    index_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential)

Eseguire una query per verificare che l'indice sia operativo.

from azure.search.documents import SearchClient

query = "historic"  

search_client = SearchClient(endpoint=AZURE_SEARCH_SERVICE, credential=credential, index_name=index_name)

results = search_client.search(  
    query_type='simple',
    search_text=query, 
    select=["Id", "Description"],
    include_total_count=True
    )

for result in results:  
    print(f"Score: {result['@search.score']}")
    print(f"Id: {result['Id']}")
    print(f"Description: {result['Description']}")

L'output della query dovrebbe produrre risultati simili all'esempio seguente.

Score: 0.6130029
Id: 4
Description: The hotel is located in the heart of the historic center of Sublime in an extremely vibrant and lively area within short walking distance to the sites and landmarks of the city and is surrounded by the extraordinary beauty of churches, buildings, shops and monuments. Sublime Palace is part of a lovingly restored 1800 palace.
Score: 0.26286605
Id: 1
Description: The hotel is ideally located on the main commercial artery of the city in the heart of New York. A few minutes away is Time's Square and the historic centre of the city, as well as other places of interest that make New York one of America's most attractive and cosmopolitan cities.

Poiché il contenuto crittografato viene decrittografato prima dell'aggiornamento dei dati o delle query, non verranno visualizzate prove visive della crittografia. Per verificare che la crittografia funzioni, controllare i log delle risorse.

Importante

Il contenuto crittografato in Azure AI Search è configurato per l'uso di una chiave specifica con una specifica versione. Se si modifica la chiave o la versione, l'oggetto deve essere aggiornato per usarlo prima di eliminare quello precedente. In caso contrario, l'oggetto non è utilizzabile. Non sarà possibile decrittografare il contenuto se la chiave viene persa.

Configurare CMK a livello di servizio (anteprima)

Per abilitare la configurazione cmk a livello di servizio, è consigliabile usare l'API REST Search Management o un pacchetto Azure SDK aggiornato per supportare l'API REST di gestione della ricerca versione 2026-03-01-preview o successiva. Questa funzionalità non è ancora supportata nel portale di Azure. L'abilitazione della chiave gestita dal cliente a livello di servizio non aggiunge la crittografia agli oggetti esistenti, ma applica la stessa chiave per impostazione predefinita a tutti gli oggetti appena creati nel servizio, a meno che si specifichi una chiave a livello di oggetto diversa per sostituire l'impostazione predefinita a livello di servizio.

Attualmente, il portale di Azure non supporta la crittografia a livello di servizio. Usare direttamente l'API REST.

Per configurare la crittografia con una CMK a livello di servizio sul servizio di ricerca, utilizza Servizi - Crea o aggiorna con PATCH per aggiornare un servizio di ricerca esistente o PUT per crearne uno nuovo. La versione dell'API deve essere 2026-03-01-preview o successiva per supportare la configurazione a livello di servizio.

In questo esempio, assicurati di sostituire {{subscription-id}}, {{resource-group}}, {{search-service}} e {{token}} con l'ID sottoscrizione, il nome del gruppo di risorse, il nome del servizio di ricerca e il token di accesso, rispettivamente. La definizione della chiave usa lo stesso schema di CMK a livello di oggetto e tutte e tre le opzioni di identità sono supportate (identità gestita assegnata dal sistema, identità gestita assegnata dall'utente o applicazione registrata).

PATCH https://management.azure.com/subscriptions/{{subscription-id}}/resourceGroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service}}?api-version=2026-03-01-preview
Authorization: Bearer {{token}}
Content-Type: application/json

Per informazioni su come inserire il costrutto encryptionKey a livello di servizio per tipi di identità diversi, vedere gli esempi seguenti.

Esempio di uso dell'identità gestita assegnata dal sistema:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
      "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
      "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
      "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>"
    }
  }
}

Esempio di uso dell'identità gestita dall'utente:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
      "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
      "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
      "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
      "identity": {
        "@odata.type": "#Microsoft.Azure.Search.DataUserAssignedIdentity",
        "userAssignedIdentity": "/subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<your-managed-identity-name>"
      }
    }
  }
}

Esempio di uso dell'ID applicazione:

{
  "encryptionWithCmk": {
    "serviceLevelEncryptionKey": {
          "keyVaultUri": "<YOUR-KEY-VAULT-URI>",
          "keyVaultKeyName": "<YOUR-ENCRYPTION-KEY-NAME>",
          "keyVaultKeyVersion": "<YOUR-ENCRYPTION-KEY-VERSION>",
          "accessCredentials": {
                  "applicationId": "<YOUR-APPLICATION-ID>",
                  "applicationSecret": "<YOUR-APPLICATION-SECRET>"
      }       
    }
  }
}

Passaggio 5: testare la crittografia

Per verificare che la crittografia funzioni, revocare la chiave di crittografia, eseguire una query sull'indice (deve essere inutilizzabile) e quindi ripristinare la chiave di crittografia.

Usare il portale di Azure per questa attività. Assicurarsi di avere un'assegnazione di ruolo che concede l'accesso in lettura alla chiave.

Nella pagina Azure Key Vault selezionare Objects>Keys.
Selezionare la chiave creata e quindi selezionare Elimina.
Nella pagina Azure AI Search selezionare Gestione ricerca>Indexes.
Selezionare l'indice e usare Esplora ricerche per eseguire una query. Verrà visualizzato un errore.
Tornare alla pagina Azure Key Vault Objects>Keys.
Selezionare Gestire chiavi eliminate.
Selezionare la chiave e quindi selezionare Recuperare.
Tornare all'indice in Azure AI Search ed eseguire di nuovo la query. Verranno visualizzati i risultati della ricerca. Se non vengono visualizzati risultati immediati, attendere un minuto e riprovare.

Configurare un criterio per applicare la conformità della chiave gestita dal cliente

Azure criteri consentono di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. Ricerca di intelligenza artificiale di Azure include due criteri predefiniti facoltativi correlati alla chiave gestita dal cliente. Questi criteri si applicano ai servizi di ricerca nuovi ed esistenti.

Effetto Descrizione

AuditIfNotExists Verifica la conformità dei criteri: gli oggetti hanno una chiave gestita dal cliente definita ed è il contenuto crittografato. Questo effetto si applica ai servizi esistenti con contenuto. Viene valutato ogni volta che un oggetto viene creato o aggiornato o in base alla pianificazione della valutazione. Ulteriori informazioni...

Nega Verifica l'imposizione dei criteri: il servizio di ricerca ha SearchEncryptionWithCmk impostato su Enabled. Questo effetto si applica solo ai nuovi servizi, che devono essere creati con la crittografia abilitata. I servizi esistenti rimangono operativi, ma non è possibile aggiornarli a meno che non si applicano patch al servizio. Nessuno degli strumenti usati per il provisioning dei servizi espone questa proprietà, quindi tenere presente che l'impostazione dei criteri limita la configurazione a livello di codice.

Effetto	Descrizione
AuditIfNotExists	Verifica la conformità dei criteri: gli oggetti hanno una chiave gestita dal cliente definita ed è il contenuto crittografato. Questo effetto si applica ai servizi esistenti con contenuto. Viene valutato ogni volta che un oggetto viene creato o aggiornato o in base alla pianificazione della valutazione. Ulteriori informazioni...
Nega	Verifica l'imposizione dei criteri: il servizio di ricerca ha SearchEncryptionWithCmk impostato su `Enabled`. Questo effetto si applica solo ai nuovi servizi, che devono essere creati con la crittografia abilitata. I servizi esistenti rimangono operativi, ma non è possibile aggiornarli a meno che non si applicano patch al servizio. Nessuno degli strumenti usati per il provisioning dei servizi espone questa proprietà, quindi tenere presente che l'impostazione dei criteri limita la configurazione a livello di codice.

Assegnare un criterio

Nel portale di Azure passare a un criterio predefinito e quindi selezionare Assign.
- AuditIfExists
- Nega
Di seguito è riportato un esempio del criterio AuditIfExists nel portale di Azure:
Impostare l'ambito dei criteri selezionando la sottoscrizione e il gruppo di risorse. Escludere tutti i servizi di ricerca per i quali i criteri non devono essere applicati.
Accettare o modificare i valori predefiniti. Seleziona Rivedi e crea e quindi seleziona Crea.

Abilitare l'applicazione dei criteri CMK

Quando si assegna un criterio a un gruppo di risorse nella sottoscrizione, diventa effettivo immediatamente. I criteri di controllo contrassegnano le risorse non conformi, ma i criteri Nega impediscono la creazione e l'aggiornamento dei servizi di ricerca non conformi. Questa sezione illustra come creare un servizio di ricerca conforme o aggiornare un servizio per renderlo conforme. Per rendere gli oggetti conformi, iniziare al passaggio uno di questo articolo.

Creare un servizio di ricerca conforme

Creare i nuovi servizi di ricerca con SearchEncryptionWithCmk impostato su Enabled.

Né il portale di Azure né gli strumenti da riga di comando (interfaccia della riga di comando di Azure e Azure PowerShell) forniscono questa proprietà in modo nativo, ma è possibile usare API RESTManagement per effettuare il provisioning di un servizio di ricerca con una definizione di criteri cmk.

API REST di gestione

Questo esempio proviene da Gestire il servizio di Azure AI Search con LE API REST, modificato per includere la proprietà SearchEncryptionWithCmk.

### Create a search service (provide an existing resource group)
@resource-group = my-rg
@search-service-name = my-search
PUT https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resource-group}}/providers/Microsoft.Search/searchServices/{{search-service-name}}?api-version=2025-05-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}

    {
        "location": "North Central US",
        "sku": {
            "name": "basic"
        },
        "properties": {
            "replicaCount": 1,
            "partitionCount": 1,
            "hostingMode": "default",
            "encryptionWithCmk": {
                "enforcement": "Enabled"
        }
      }
    }

Aggiornare un servizio di ricerca esistente

Per i servizi di ricerca esistenti non conformi, applicare patch usando Services - Update API o il comando interfaccia della riga di comando di Azure az resource update. L'applicazione di patch ai servizi ripristina la possibilità di aggiornare le proprietà del servizio di ricerca.

API REST di gestione
interfaccia della riga di comando di Azure

PATCH https://management.azure.com/subscriptions/<your-subscription-Id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.Search/searchServices/<your-search-service-name>?api-version=2025-05-01

{
  "properties": {
      "encryptionWithCmk": {
          "enforcement": "Enabled"
      }
  }
}

Eseguire il comando seguente, sostituendo i valori validi per il servizio di ricerca e il gruppo di risorse.

az resource update --name SEARCH-SERVICE-PLACEHOLDER --resource-group RESOURCE-GROUP-PLACEHOLDER --resource-type searchServices --namespace Microsoft.Search --set properties.encryptionWithCmk.enforcement=Enabled

La risposta deve includere l'istruzione seguente:

"encryptionWithCmk": {
      "encryptionComplianceStatus": "NonCompliant",
      "enforcement": "Enabled"
    }
...

"Non conforme" indica che il servizio di ricerca dispone di oggetti esistenti che non sono crittografati tramite chiave gestita dal cliente. Per ottenere la conformità, ricreare ogni oggetto, specificando una chiave di crittografia.

Ruotare o aggiornare le chiavi di crittografia

Usare le istruzioni seguenti per ruotare le chiavi o eseguire la migrazione da Azure Key Vault al modello di protezione hardware.

Per la rotazione delle chiavi, usare le funzionalità di autorotation di Azure Key Vault. Se si usa l'autorotazione, omettere la versione della chiave nelle definizioni degli oggetti. Viene usata la chiave più recente anziché una versione specifica.

Quando si modifica una chiave o la relativa versione, aggiornare qualsiasi oggetto che usa la chiave per usare i nuovi valori prima di eliminare i valori precedenti. In caso contrario, l'oggetto diventa inutilizzabile perché non può essere decrittografato.

Se è stata configurata la chiave CMK a livello di servizio, la rotazione della chiave a livello di servizio si applica agli oggetti appena creati andando avanti. Gli oggetti che hanno già ereditato la chiave precedente a livello di servizio prelevano automaticamente la nuova chiave, quindi non è necessario aggiornarli. Tuttavia, se si dispone di oggetti configurati con una chiave a livello di oggetto che si vuole ruotare, è necessario aggiornare tali oggetti per usare la nuova chiave.

Le chiavi vengono memorizzate nella cache per 60 minuti. Tenere presente questo problema durante il test e la rotazione delle chiavi.

Determinare la chiave usata da un indice o da una mappa sinonimo.
Creare una nuova chiave nell'insieme di credenziali delle chiavi, ma lasciare disponibile la chiave originale. In questo passaggio è possibile passare dall'insieme di credenziali delle chiavi al modulo di protezione hardware.
Aggiornare le proprietà encryptionKey in una mappa di indice o sinonimo per usare i nuovi valori. Solo gli oggetti creati originariamente con questa proprietà possono essere aggiornati per utilizzare un valore diverso.
Disabilitare o eliminare la chiave precedente nell'insieme di credenziali delle chiavi. Monitorare l'accesso alla chiave per verificare che venga usata la nuova chiave.

Per motivi di prestazioni, il servizio di ricerca memorizza nella cache la chiave per un massimo di diverse ore. Se si disabilita o si elimina la chiave senza specificarne una nuova, le query continuano a funzionare in modo temporaneo fino alla scadenza della cache. Tuttavia, una volta che il servizio di ricerca non è più in grado di decrittografare il contenuto, viene visualizzato questo messaggio: "Access forbidden. The query key used might have been revoked - please retry."

Suggerimenti Key Vault

Se non si ha familiarità con Azure Key Vault, vedere questa guida introduttiva per informazioni sulle attività di base: Set e recuperare un segreto da Azure Key Vault usando PowerShell.
Usare tutti gli insiemi di credenziali delle chiavi necessari. Le chiavi gestite possono trovarsi in insiemi di credenziali delle chiavi diversi. Un servizio di ricerca può avere più oggetti crittografati, ognuno crittografato con una chiave di crittografia gestita dal cliente diversa, archiviata in insiemi di credenziali delle chiavi diversi.
Usare lo stesso tenant Azure tenant in modo da poter recuperare la chiave gestita tramite assegnazioni di ruolo e connettendosi tramite un sistema o un'identità gestita dall'utente. Per altre informazioni sulla creazione di un tenant, vedere Configurare un nuovo tenant.
Abilitare la protezione dalla rimozione definitiva e l'eliminazione temporanea in un insieme di credenziali delle chiavi. A causa della natura della crittografia con chiavi gestite dal cliente, nessuno può recuperare i dati se la chiave Azure Key Vault viene eliminata. Per evitare la perdita di dati causata da eliminazioni accidentali di chiavi Key Vault, è necessario abilitare la protezione da eliminazione temporanea e da eliminazione permanente nel key vault. L'eliminazione temporanea è abilitata per impostazione predefinita, quindi si verificano problemi solo se lo si disabilita intenzionalmente. La protezione dall'eliminazione non è abilitata di default, ma è necessaria per la crittografia con una chiave gestita dal cliente (CMK) in Azure AI Search.
Abilitare la registrazione nell'insieme di credenziali delle chiavi in modo da poter monitorare l'utilizzo delle chiavi.
Abilitare l'autorotazione delle chiavi o seguire procedure rigorose durante la rotazione di routine delle chiavi dell'insieme di credenziali delle chiavi e dei segreti e della registrazione dell'applicazione. Aggiornare sempre tutto il contenuto crittografato per usare nuovi segreti e chiavi prima di eliminarli. Se non si verifica questo passaggio, il contenuto non può essere decrittografato.

Usare il contenuto crittografato

Usando CMK (chiave gestita dal cliente), è possibile notare la latenza sia per l'indicizzazione che per le query a causa del processo aggiuntivo di crittografia e decrittografia. Azure AI Search non registra l'attività di crittografia, ma è possibile monitorare l'accesso alle chiavi tramite la registrazione del Vault delle chiavi.

È consigliabile abilitare la registrazione come parte della configurazione dell'insieme di credenziali delle chiavi.

Creare un'area di lavoro Log Analytics.
Aggiungere un'impostazione di diagnostica nell'insieme di credenziali delle chiavi che usa l'area di lavoro per la conservazione dei dati.
Selezionare audit o allLogs per la categoria, assegnare un nome all'impostazione di diagnostica e quindi salvarlo.

Passaggi successivi

Se non si ha familiarità con l'architettura di sicurezza di Azure , consultare la documentazione di sicurezza di Azure e in particolare questo articolo:

Crittografia dei dati inattivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-08