Azure AI Services에 대한 Azure Policy 기본 제공 정책 정의
이 페이지는 Azure AI Service에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure AI 서비스
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.2.0 |
| Cognitive Services 계정은 고객 관리형 키를 사용하여 데이터를 암호화하도록 설정해야 함 | 고객 관리형 키는 일반적으로 규정 준수 표준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 Cognitive Services에 저장된 데이터를 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://go.microsoft.com/fwlink/?linkid=2121321에서 고객 관리형 키에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Cognitive Services 계정은 관리 ID를 사용해야 함 | Cognitive Service 계정에 관리 ID를 할당하면 보안 인증을 보장할 수 있습니다. 이 ID는 자격 증명을 관리하지 않고도 안전한 방식으로 Azure Key Vault와 같은 다른 Azure 서비스와 통신하기 위해 이 Cognitive Service 계정에서 사용됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Cognitive Services 계정은 고객 소유 스토리지를 사용해야 함 | 고객 소유 스토리지를 사용하여 Cognitive Services에 저장된 데이터를 제어합니다. 고객 소유 스토리지에 대해 자세히 알아보려면 https://aka.ms/cogsvc-cmk를 방문하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.0 |
| 로컬 키 액세스를 사용하지 않도록 Azure AI 서비스 리소스 구성(로컬 인증 사용 안 함) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 인증 방법을 사용하지 않도록 Cognitive Services 계정 구성 | Cognitive Services 계정에 인증 전용 Azure Active Directory ID가 필요하도록 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. https://aka.ms/cs/auth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Cognitive Services 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Cognitive Services 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 자세히 알아보세요. | 사용 안 함, 수정 | 3.0.0 |
| 프라이빗 엔드포인트로 Cognitive Services 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
| Azure AI 서비스 리소스의 진단 로그를 사용하도록 설정해야 합니다. | Azure AI 서비스 리소스에 대한 로그를 사용하도록 설정합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Event Hub에 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services용(microsoft.cognitiveservices/accounts) 이벤트 허브로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services용(microsoft.cognitiveservices/accounts) 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.