Předdefinované definice služby Azure Policy pro Azure Cognitive Search
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Cognitive Search. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure Cognitive Search
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Služba Azure AI Search by měla být zónově redundantní. | Službu Azure AI Search je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Zóny dostupnosti se používají při přidávání dvou nebo více replik do vyhledávací služby. Každá replika se umístí do jiné zóny dostupnosti v rámci oblasti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Prostředky azure AI Services by měly používat Službu Azure Private Link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link snižuje riziko úniku dat tím, že zpracovává propojení mezi spotřebitelem a službami přes páteřní síť Azure. Další informace o privátních propojeních najdete tady: https://aka.ms/AzurePrivateLink/Overview | Audit, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Cognitive Search s by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby služba Azure Cognitive Search k ověřování výhradně vyžadovala identity Azure Active Directory. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. Mějte na paměti, že i když je parametr zakázání místního ověřování stále ve verzi Preview, může efekt zamítnutí této zásady vést k omezené funkčnosti portálu Azure Cognitive Search, protože některé funkce portálu používají rozhraní GA API, které parametr nepodporuje. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Cognitive Search by k šifrování neaktivních uložených dat měly používat klíče spravované zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službě Azure Cognitive Search s poskytuje další kontrolu nad klíčem použitým k šifrování neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů pro správu šifrovacích klíčů dat pomocí trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace prostředků Azure AI Services pro zakázání přístupu k místnímu klíči (zakázání místního ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše služby Azure Cognitive Search výhradně vyžadovaly identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-cognitive-search/rbac. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu Azure Cognitive Search, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Upravit, zakázáno | 1.0.0 |
| Konfigurace služeb Azure Cognitive Search s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na službu Azure Cognitive Search můžete snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení nastavení diagnostiky pro Vyhledávací služby do centra událostí | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení nastavení diagnostiky pro Vyhledávací služby do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, u které chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
| Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Search s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro Search s (microsoft.search/searchservices) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.