Definições de política incorporadas do Azure Policy para os Serviços de IA do Azure
Esta página é um índice das definições de política internas da Política do Azure para serviços de IA do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Serviços de IA do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| As contas dos Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente | As chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. | Auditoria, Negar, Desativado | 2.1.0 |
| As contas dos Serviços Cognitivos devem usar uma identidade gerenciada | Atribuir uma identidade gerenciada à sua conta do Serviço Cognitivo ajuda a garantir uma autenticação segura. Essa identidade é usada por essa conta de serviço Cognitivo para se comunicar com outros serviços do Azure, como o Cofre da Chave do Azure, de forma segura, sem que você precise gerenciar credenciais. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente | Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, visite https://aka.ms/cogsvc-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| Os Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas dos Serviços Cognitivos para desativar métodos de autenticação local | Desative os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. | Modificar, Desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos para desativar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Serviços Cognitivos para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. | Desativado, Modificar | 3.0.0 |
| Configurar contas de Serviços Cognitivos com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, desativado | 3.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite logs para recursos de serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários