Azure Yapay Zeka hizmetleri için Azure İlkesi yerleşik ilke tanımları
Bu sayfa, Azure AI hizmetleri için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Yapay Zeka Hizmetleri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmelidir | Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden müşteri tarafından yönetilen anahtarlar https://go.microsoft.com/fwlink/?linkid=2121321hakkında daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Bilişsel Hizmetler hesapları yönetilen kimlik kullanmalıdır | Bilişsel Hizmet hesabınıza yönetilen kimlik atamak, güvenli kimlik doğrulamasının sağlanmasına yardımcı olur. Bu kimlik, kimlik bilgilerini yönetmek zorunda kalmadan Azure Key Vault gibi diğer Azure hizmetleriyle güvenli bir şekilde iletişim kurmak için bu Bilişsel hizmet hesabı tarafından kullanılır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesapları müşteriye ait depolama alanını kullanmalıdır | Bilişsel Hizmetler'de bekleyen verileri denetlemek için müşteriye ait depolama alanını kullanın. Müşteriye ait depolama alanı hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/cogsvc-cmk. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Yerel anahtar erişimini devre dışı bırakmak için Azure AI Services kaynaklarını yapılandırma (yerel kimlik doğrulamasını devre dışı bırakma) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını yerel kimlik doğrulama yöntemlerini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/cs/auth. | Değiştir, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler kaynağınızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800. | Devre Dışı, Değiştir | 3.0.0 |
| Bilişsel Hizmetler hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI hizmetleri kaynaklarındaki tanılama günlükleri etkinleştirilmelidir | Azure AI hizmetleri kaynakları için günlükleri etkinleştirin. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ına Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Olay Hub'ına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics'e Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Depolama için Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Depolama Hesabına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.