Definisi bawaan Azure Policy untuk Azure Cognitive Search
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Cognitive Search. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Microsoft Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: Layanan Pencarian Azure AI harus Zona Redundan | Layanan Pencarian Azure AI dapat dikonfigurasi menjadi Zona Redundan atau tidak. Zona ketersediaan digunakan saat Anda menambahkan dua replika atau lebih ke layanan pencarian Anda. Setiap replika ditempatkan di zona ketersediaan yang berbeda dalam wilayah tersebut. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
Sumber daya Azure AI Services harus menggunakan Azure Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link mengurangi risiko kebocoran data dengan menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/AzurePrivateLink/Overview | Audit, Dinonaktifkan | 1.0.0 |
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Layanan Azure Cognitive Search harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/rbac. Perhatikan bahwa sementara parameter autentikasi lokal yang dinonaktifkan masih dalam pratinjau, efek penolakan untuk kebijakan ini dapat mengakibatkan fungsionalitas portal Azure Cognitive Search yang terbatas karena beberapa fitur Portal menggunakan GA API yang tidak mendukung parameter. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Layanan Azure Cognitive Search harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di layanan Azure Cognitive Search memberikan kontrol tambahan atas kunci yang digunakan untuk mengenkripsi data tidak aktif. Fitur ini sering diterapkan untuk pelanggan dengan persyaratan kepatuhan khusus untuk mengelola kunci enkripsi data menggunakan brankas kunci. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Mengonfigurasi sumber daya Azure AI Services untuk menonaktifkan akses kunci lokal (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan layanan Azure Cognitive Search untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal agar namespace layanan Azure Cognitive Search Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/rbac. | Ubah, Non-fungsikan | 1.0.0 |
Menonaktifkan layanan Azure Cognitive Search untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk layanan Azure Cognitive Search Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Ubah, Non-fungsikan | 1.0.0 |
Mengonfigurasi layanan Azure Cognitive Search dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan Azure Cognitive Search, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke Hub Kejadian wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
Log diagnostik di sumber daya layanan Azure AI harus diaktifkan | Aktifkan log untuk sumber daya layanan Azure AI. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi, ketika insiden keamanan terjadi atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Mengaktifkan pengelogan menurut grup kategori untuk layanan Pencarian (microsoft.search/searchservices) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk layanan Pencarian (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Mengaktifkan pengelogan menurut grup kategori untuk layanan Pencarian (microsoft.search/searchservices) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk layanan Pencarian (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Mengaktifkan pengelogan menurut grup kategori untuk layanan Pencarian (microsoft.search/searchservices) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk layanan Pencarian (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.