Definições de políticas internas do Azure Policy para os serviços de IA do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para os serviços de IA do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviços de IA do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente | As chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre as chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, desabilitado | 2.1.0 |
| As contas dos Serviços Cognitivos devem usar uma identidade gerenciada | A atribuição de uma identidade gerenciada à sua conta dos Serviços Cognitivos ajuda a garantir a autenticação segura. Essa identidade é usada por essa conta dos Serviços Cognitivos para se comunicar de modo seguro com outros serviços do Azure, como o Azure Key Vault, sem a necessidade de gerenciamento de credenciais. | Audit, Deny, desabilitado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente | Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, acesse https://aka.ms/cogsvc-cmk. | Audit, Deny, desabilitado | 2.0.0 |
| Os Serviços Cognitivos devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.0 |
| Configure os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar as contas dos Serviços Cognitivos para desabilitar os métodos de autenticação local | Desabilite os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam o Azure Active Directory para identidades exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. | Modificar, Desabilitado | 1.0.0 |
| Configurar as contas dos Serviços Cognitivos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso dos Serviços Cognitivos para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. | Desabilitado, Modificar | 3.0.0 |
| Configurar as contas dos Serviços Cognitivos com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, desabilitado | 3.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite os logs dos recursos dos serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de