Definiciones de directivas integradas de Azure Policy para los servicios de Azure AI
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para los servicios de Azure AI. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Servicios de Azure AI
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. | Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Las cuentas de Cognitive Services deben usar una identidad administrada | La asignación de una identidad administrada a su cuenta de Cognitive Services ayuda a garantizar una autenticación segura. Esta cuenta de Cognitive Services usa esta identidad para comunicarse con otros servicios de Azure, como Azure Key Vault, de forma segura sin tener que administrar ninguna credencial. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente | Use el almacenamiento de propiedad del cliente para controlar los datos almacenados en reposo en Cognitive Services. Para más información sobre el almacenamiento de propiedad del cliente, visite https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las cuentas de Cognitive Services para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las cuentas de Cognitive Services para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Cognitive Services de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. | Deshabilitado, Modificar | 3.0.0 |
| Configurar las cuentas de Cognitive Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
| Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados | Habilite los registros para los recursos de los servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro | AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de