Définitions de stratégie intégrées d’Azure Policy pour Azure AI services
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure AI services. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure AI services
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit, Refuser, Désactivé | 2.2.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Les ressources Azure AI Services doivent utiliser Azure Private Link | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link réduit les risques de fuite de données en gérant la connectivité entre le consommateur et les services via le réseau principal Azure. En savoir plus sur les liaisons privées : https://aka.ms/AzurePrivateLink/Overview | Audit, Désactivé | 1.0.0 |
| Les comptes Cognitive Services doivent utiliser une identité managée | L’attribution d’une identité gérée à votre compte Cognitive Services permet de garantir une authentification sécurisée. Cette identité est utilisée par ce compte Cognitive Services pour communiquer avec d’autres services Azure, comme Azure Key Vault, de manière sécurisée et sans que vous ayez à gérer des informations d’identification. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Cognitive Services doivent utiliser le stockage appartenant au client | Utilisez le stockage appartenant au client pour contrôler les données stockées au repos dans Cognitive Services. Pour en savoir plus sur le stockage appartenant au client, visitez https://aka.ms/cogsvc-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Configurer les ressources Azure AI Services pour désactiver l’accès par clé locale (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes Cognitive Services pour désactiver les méthodes d’authentification locales | Désactivez les méthodes d’authentification locales de sorte que vos comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/cs/auth. | Modifier, Désactivé | 1.0.0 |
| Configurer les comptes Cognitive Services pour désactiver l’accès au réseau public | Désactivez l’accès réseau public pour votre ressource Cognitive Services afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2129800. | Désactivé, Modifier | 3.0.0 |
| Configurer les comptes Cognitive Services avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Désactivé | 3.0.0 |
| Les journaux de diagnostic dans les ressources Azure AI services doivent être activés | Activez les journaux pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.