Wbudowane definicje usługi Azure Policy dla usługi platformy Azure AI
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usług Azure AI. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Usługi platformy Azure AI
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zasoby usług Azure AI Services powinny szyfrować dane magazynowane przy użyciu klucza zarządzanego przez klienta (CMK) | Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę nad cyklem życia klucza, w tym rotacją i zarządzaniem. Jest to szczególnie istotne dla organizacji z powiązanymi wymaganiami dotyczącymi zgodności. Nie jest to domyślnie oceniane i powinno być stosowane tylko wtedy, gdy są wymagane przez wymagania dotyczące zgodności lub restrykcyjnych zasad. Jeśli nie zostanie włączona, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę. Aby to zaimplementować, zaktualizuj parametr "Effect" w zasadach zabezpieczeń dla odpowiedniego zakresu. | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Zasoby usług Azure AI Services powinny używać usługi Azure Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link zmniejsza ryzyko wycieku danych dzięki obsłudze łączności między konsumentem a usługami za pośrednictwem sieci szkieletowej platformy Azure. Dowiedz się więcej o linkach prywatnych na stronie: https://aka.ms/AzurePrivateLink/Overview | Inspekcja, wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do konta usługi Cognitive Service pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez to konto usługi Cognitive Service do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Key Vault, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny używać magazynu należącego do klienta | Użyj magazynu należącego do klienta, aby kontrolować dane przechowywane w magazynowanych usługach Cognitive Services. Aby dowiedzieć się więcej na temat magazynu należącego do klienta, odwiedź stronę https://aka.ms/cogsvc-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz lokalne metody uwierzytelniania, aby konta usług Cognitive Services wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/cs/auth. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usług Cognitive Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2129800. | Wyłączone, Modyfikuj | 3.0.0 |
| Konfigurowanie kont usług Cognitive Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
| Dzienniki diagnostyczne w zasobach usług AI platformy Azure powinny być włączone | Włączanie dzienników dla zasobów usług Azure AI. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usług Cognitive Services (microsoft.cognitiveservices/accounts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usług Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.