Definisi kebijakan bawaan Azure Policy untuk layanan Azure AI
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk layanan Azure AI. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Layanan Azure AI
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Akun Azure Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan | Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan memungkinkan data yang disimpan di Azure Cognitive Services dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang kunci yang dikelola pelanggan di https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Akun Azure Cognitive Services harus menggunakan identitas terkelola | Menetapkan identitas terkelola ke akun Cognitive Service Anda membantu memastikan autentikasi yang aman. Identitas ini digunakan oleh akun layanan Cognitive ini untuk berkomunikasi dengan layanan Azure lainnya, seperti Azure Key Vault, dengan cara yang aman tanpa Anda harus mengelola informasi masuk apa pun. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cognitive Services harus menggunakan penyimpanan milik pelanggan | Gunakan penyimpanan milik pelanggan untuk mengontrol data yang tersimpan saat posisi tidak aktif di Azure Cognitive Services. Untuk mempelajari selengkapnya tentang penyimpanan milik pelanggan, kunjungi https://aka.ms/cogsvc-cmk. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Azure Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.0 |
| Mengonfigurasi sumber daya Azure AI Services untuk menonaktifkan akses kunci lokal (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi akun Azure Cognitive Services untuk menonaktifkan metode autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda memerlukan identitas Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/cs/auth. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Azure Cognitive Services untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik pada sumber daya Azure Cognitive Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2129800. | Non-fungsikan, Ubah | 3.0.0 |
| Konfigurasikan akun Azure Cognitive Services dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Log diagnostik di sumber daya layanan Azure AI harus diaktifkan | Aktifkan log untuk sumber daya layanan Azure AI. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi, ketika insiden keamanan terjadi atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Aktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.