你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure AI 服务的 Azure Policy 内置策略定义
此页是适用于 Azure AI 服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure AI 服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 | 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | Audit、Deny、Disabled | 2.2.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
| Azure AI 服务资源应使用 Azure 专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/AzurePrivateLink/Overview | Audit、Disabled | 1.0.0 |
| 认知服务帐户应使用托管标识 | 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 | Audit、Deny、Disabled | 1.0.0 |
| 认知服务帐户应使用客户自有存储 | 使用客户拥有的存储来控制认知服务中静态存储的数据。 若要了解有关客户拥有的存储详细信息,请访问 https://aka.ms/cogsvc-cmk。 | Audit、Deny、Disabled | 2.0.0 |
| 配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | DeployIfNotExists、Disabled | 1.0.0 |
| 配置认知服务帐户以禁用本地身份验证方法 | 禁用本地身份验证方法,使认知服务帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/cs/auth。 | 修改,已禁用 | 1.0.0 |
| 将认知服务帐户配置为禁用公用网络访问 | 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | 禁用、修改 | 3.0.0 |
| 为认知服务帐户配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure AI 服务资源中的诊断日志 | 为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。