Ingebouwde Azure Policy-beleidsdefinities voor Azure AI Services
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure AI-services. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure AI-services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel | Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Cognitive Services worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over door de klant beheerde sleutels vindt u op https://go.microsoft.com/fwlink/?linkid=2121321. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Cognitive Services-accounts moeten een beheerde identiteit gebruiken | Door een beheerde identiteit toe te wijzen aan uw Cognitive Service-account, zorgt u voor veilige verificatie. Deze identiteit wordt door dit Cognitive Service-account gebruikt om op een veilige manier te communiceren met andere Azure-services, zoals Azure Key Vault, zonder dat u referenties hoeft te beheren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Cognitive Services-accounts moet opslag van de klant worden gebruikt | Gebruik opslag in eigendom van de klant om de gegevens te beheren die in rust zijn opgeslagen in Cognitive Services. Ga naar https://aka.ms/cogsvc-cmkvoor meer informatie over opslag in eigendom van de klant. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Azure AI Services-resources configureren om toegang tot lokale sleutels uit te schakelen (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren om lokale verificatiemethoden uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Cognitive Services-accounts uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/cs/auth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Cognitive Services-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800. | Uitgeschakeld, Wijzigen | 3.0.0 |
| Cognitive Services-accounts configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Diagnostische logboeken in Azure AI-services-resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services-resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor