Předdefinované definice zásad Azure Policy pro Azure AI Služby
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro služby Azure AI. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Služby Azure AI
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Prostředky azure AI Services by měly používat Službu Azure Private Link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link snižuje riziko úniku dat tím, že zpracovává propojení mezi spotřebitelem a službami přes páteřní síť Azure. Další informace o privátních propojeních najdete tady: https://aka.ms/AzurePrivateLink/Overview | Audit, zakázáno | 1.0.0 |
| Účty služeb Cognitive Services by měly používat spravovanou identitu. | Přiřazení spravované identity k účtu služby Cognitive Service pomáhá zajistit zabezpečené ověřování. Tuto identitu používá tento účet kognitivní služby ke komunikaci s dalšími službami Azure, jako je Azure Key Vault, zabezpečeným způsobem, aniž byste museli spravovat jakékoli přihlašovací údaje. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem. | Použijte úložiště vlastněné zákazníkem k řízení neaktivních uložených dat ve službách Cognitive Services. Další informace o úložišti vlastněných zákazníkem najdete v tématu https://aka.ms/cogsvc-cmk. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání místních metod ověřování | Zakažte místní metody ověřování, aby vaše účty služeb Cognitive Services vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/cs/auth. | Upravit, zakázáno | 1.0.0 |
| Konfigurace účtů služeb Cognitive Services pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek služeb Cognitive Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Zakázáno, Upravit | 3.0.0 |
| Konfigurace účtů služeb Cognitive Services s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, zakázáno | 3.0.0 |
| Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro Cognitive Services (microsoft.cognitiveservices/accounts) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.