Definiciones de directivas integradas de Azure Policy para los servicios de Azure AI
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para los servicios de Azure AI. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Servicios de Azure AI
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Los recursos de los Servicios de Azure AI deberían cifrar los datos en reposo con una clave administrada por el cliente (CMK) | El uso de claves administradas por el cliente para cifrar los datos en reposo proporciona más control sobre el ciclo de vida de las claves, incluida la rotación y la administración. Esto es especialmente relevante para las organizaciones con requisitos de cumplimiento relacionados. Esto no se evalúa de forma predeterminada y solo se debe aplicar cuando lo requieran los requisitos de directivas restrictivas o de cumplimiento. Si no está habilitado, los datos se cifrarán mediante claves administradas por la plataforma. Para implementar esto, actualice el parámetro "Effect" en la directiva de seguridad para el ámbito aplicable. | Audit, Deny, Disabled | 2.2.0 |
Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
Los recursos de Servicios de Azure AI deben usar Azure Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link reduce los riesgos de pérdida de datos mediante el control de la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Más información acerca de los vínculos privados en: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
Las cuentas de Cognitive Services deben usar una identidad administrada | La asignación de una identidad administrada a su cuenta de Cognitive Services ayuda a garantizar una autenticación segura. Esta cuenta de Cognitive Services usa esta identidad para comunicarse con otros servicios de Azure, como Azure Key Vault, de forma segura sin tener que administrar ninguna credencial. | Audit, Deny, Disabled | 1.0.0 |
Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente | Use el almacenamiento de propiedad del cliente para controlar los datos almacenados en reposo en Cognitive Services. Para más información sobre el almacenamiento de propiedad del cliente, visite https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
Configurar las cuentas de Cognitive Services para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. | Modificar, Deshabilitado | 1.0.0 |
Configurar las cuentas de Cognitive Services para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Cognitive Services de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. | Deshabilitado, Modificar | 3.0.0 |
Configurar las cuentas de Cognitive Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados | Habilite los registros para los recursos de los servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro | AuditIfNotExists, Disabled | 1.0.0 |
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.