Definições de políticas internas do Azure Policy para os serviços de IA do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para os serviços de IA do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviços de IA do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Audit, Deny, desabilitado | 2.2.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| Os recursos dos Serviços de IA do Azure devem usar o Link Privado do Azure | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Audit, desabilitado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar uma identidade gerenciada | A atribuição de uma identidade gerenciada à sua conta dos Serviços Cognitivos ajuda a garantir a autenticação segura. Essa identidade é usada por essa conta dos Serviços Cognitivos para se comunicar de modo seguro com outros serviços do Azure, como o Azure Key Vault, sem a necessidade de gerenciamento de credenciais. | Audit, Deny, desabilitado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente | Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, acesse https://aka.ms/cogsvc-cmk. | Audit, Deny, desabilitado | 2.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar as contas dos Serviços Cognitivos para desabilitar os métodos de autenticação local | Desabilite os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam o Azure Active Directory para identidades exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. | Modificar, Desabilitado | 1.0.0 |
| Configurar as contas dos Serviços Cognitivos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso dos Serviços Cognitivos para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. | Desabilitado, Modificar | 3.0.0 |
| Configurar as contas dos Serviços Cognitivos com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, desabilitado | 3.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite os logs dos recursos dos serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.