Předdefinované definice služby Azure Policy pro Azure Cognitive Search
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Cognitive Search. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure Cognitive Search
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Služba Azure AI Search by měla být zónově redundantní. | Službu Azure AI Search je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Zóny dostupnosti se používají při přidávání dvou nebo více replik do vyhledávací služby. Každá replika se umístí do jiné zóny dostupnosti v rámci oblasti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Azure AI Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure AI Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Azure AI Search by měla zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že vaše Search Azure AI není vystavená na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Azure AI Search by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby azure AI Search výhradně vyžadovaly identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. Všimněte si, že i když je parametr zakázání místního ověřování stále ve verzi Preview, může efekt zamítnutí této zásady vést k omezené funkčnosti portálu Azure AI Search, protože některé funkce portálu používají rozhraní GA API, které parametr nepodporuje. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Azure AI Search by k šifrování neaktivních uložených dat měly používat klíče spravované zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službě Azure AI Search poskytuje další kontrolu nad klíčem použitým k šifrování neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů pro správu šifrovacích klíčů dat pomocí trezoru klíčů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Prostředky azure AI Services by měly používat Službu Azure Private Link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link snižuje riziko úniku dat tím, že zpracovává propojení mezi spotřebitelem a službami přes páteřní síť Azure. Další informace o privátních propojeních najdete tady: https://aka.ms/AzurePrivateLink/Overview | Audit, zakázáno | 1.0.0 |
| Konfigurace Search Azure AI pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše Search Azure AI vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. | Upravit, zakázáno | 1.0.1 |
| Konfigurace Search Azure AI tak, aby zakázala přístup k veřejné síti | Zakažte přístup k veřejné síti pro azure AI Search, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Upravit, zakázáno | 1.0.1 |
| Konfigurace Search Azure AI pro použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službě Azure AI Search poskytuje další kontrolu nad klíčem použitým k šifrování neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů pro správu šifrovacích klíčů dat pomocí trezoru klíčů. | Odepřít, zakázáno | 1.0.0 |
| Konfigurace Search Azure AI s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Search Azure AI můžete snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení nastavení diagnostiky pro Vyhledávací služby do centra událostí | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení nastavení diagnostiky pro Vyhledávací služby do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Search s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.