Definiciones de directivas integradas de Azure Policy para Azure Cognitive Search
Esta página es un índice de las definiciones de directivas integradas de Azure Policy en Azure Cognitive Search. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada uno de los vínculos de definición de directiva integrada a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Cognitive Search
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: El servicio de búsqueda de Azure AI debe tener redundancia de zona | El servicio Búsqueda de Azure AI se puede configurar como con redundancia de zona o no. Las zonas de disponibilidad se usan al agregar dos o más réplicas al servicio de búsqueda. Cada réplica se coloca en una zona de disponibilidad distinta dentro de la región. | Audit, Deny, Disabled | 1.0.0-preview |
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Los recursos de Servicios de Azure AI deben usar Azure Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link reduce los riesgos de pérdida de datos mediante el control de la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Más información acerca de los vínculos privados en: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que el servicio de Azure Cognitive Search requiera exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. Tenga en cuenta que aunque el parámetro de deshabilitación de la autenticación local todavía está en versión preliminar, el efecto de denegación de esta directiva puede dar lugar a una funcionalidad limitada del portal de Azure Cognitive Search, ya que algunas características del portal usan la API de disponibilidad general que no admite el parámetro. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar claves administradas por el cliente para cifrar los datos en reposo | Al habilitar el cifrado en reposo con una clave administrada por el cliente en los servicios de Azure Cognitive Search, se proporciona un mayor control sobre la clave que se usa para el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales para gestionar claves de cifrado de datos con un almacén de claves. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los servicios de Azure Cognitive Search exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el servicio Azure Cognitive Search de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su instancia del servicio Azure Cognitive Search, puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico de los servicios de búsqueda en el centro de eventos | Implementa la configuración de diagnóstico para que Search Services se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de los servicios de búsqueda en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Search Services se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados | Habilite los registros para los recursos de los servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro | AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para los servicios Search (microsoft.search/searchservices) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los servicios Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para los servicios Search (microsoft.search/searchservices) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los servicios Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para los servicios Search (microsoft.search/searchservices) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los servicios Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.