Předdefinované definice zásad Azure Policy pro Azure AI Služby
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro služby Azure AI. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Služby Azure AI
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem. | Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Účty služeb Cognitive Services by měly používat spravovanou identitu. | Přiřazení spravované identity k účtu služby Cognitive Service pomáhá zajistit zabezpečené ověřování. Tuto identitu používá tento účet kognitivní služby ke komunikaci s dalšími službami Azure, jako je Azure Key Vault, zabezpečeným způsobem, aniž byste museli spravovat jakékoli přihlašovací údaje. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem. | Použijte úložiště vlastněné zákazníkem k řízení neaktivních uložených dat ve službách Cognitive Services. Další informace o úložišti vlastněných zákazníkem najdete v tématu https://aka.ms/cogsvc-cmk. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Služby Cognitive Services by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.0 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání místních metod ověřování | Zakažte místní metody ověřování, aby vaše účty služeb Cognitive Services vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/cs/auth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek služeb Cognitive Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Zakázáno, Upravit | 3.0.0 |
| Konfigurace účtů služeb Cognitive Services s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, zakázáno | 3.0.0 |
| Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.