Azure Policy inbyggda principdefinitioner för Azure AI-tjänster
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure AI-tjänster. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure AI-tjänster
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. | Granska, neka, inaktiverad | 2.2.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure AI Services-resurser bör använda Azure Private Link | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen minskar risken för dataläckage genom att hantera anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Läs mer om privata länkar på: https://aka.ms/AzurePrivateLink/Overview | Granskning, inaktiverad | 1.0.0 |
| Cognitive Services-konton bör använda en hanterad identitet | Genom att tilldela en hanterad identitet till ditt Cognitive Service-konto kan du säkerställa säker autentisering. Den här identiteten används av det här Cognitive Service-kontot för att kommunicera med andra Azure-tjänster, till exempel Azure Key Vault, på ett säkert sätt utan att du behöver hantera några autentiseringsuppgifter. | Granska, neka, inaktiverad | 1.0.0 |
| Cognitive Services-konton bör använda kundägd lagring | Använd kundägd lagring för att styra data som lagras i vila i Cognitive Services. Mer information om kundägd lagring finns i https://aka.ms/cogsvc-cmk. | Granska, neka, inaktiverad | 2.0.0 |
| Konfigurera Azure AI Services-resurser för att inaktivera åtkomst till lokal nyckel (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Cognitive Services-konton för att inaktivera lokala autentiseringsmetoder | Inaktivera lokala autentiseringsmetoder så att dina Cognitive Services-konton kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/cs/auth. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Cognitive Services-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Cognitive Services-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800. | Inaktiverad, ändra | 3.0.0 |
| Konfigurera Cognitive Services-konton med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Diagnostikloggar i Azure AI-tjänstresurser ska vara aktiverade | Aktivera loggar för Azure AI-tjänstresurser. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte, när en säkerhetsincident inträffar eller om nätverket komprometteras | AuditIfNotExists, inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Cognitive Services (microsoft.cognitiveservices/accounts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.