Wbudowane definicje usługi Azure Policy dla usługi Azure Cognitive Search
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Cognitive Search. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure Cognitive Search
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Usługa azure AI Search powinna być strefowo nadmiarowa | Usługę Azure AI Search można skonfigurować tak, aby mogła być strefowo nadmiarowa lub nie. Strefy dostępności są używane podczas dodawania co najmniej dwóch replik do usługi wyszukiwania. Każda replika jest umieszczana w innej strefie dostępności w regionie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Zasoby usług Azure AI Services powinny używać usługi Azure Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link zmniejsza ryzyko wycieku danych dzięki obsłudze łączności między konsumentem a usługami za pośrednictwem sieci szkieletowej platformy Azure. Dowiedz się więcej o linkach prywatnych na stronie: https://aka.ms/AzurePrivateLink/Overview | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania wymaga wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/rbac. Należy pamiętać, że mimo że wyłączenie lokalnego parametru uwierzytelniania jest nadal w wersji zapoznawczej, efekt odmowy dla tych zasad może spowodować ograniczenie funkcjonalności portalu usługi Azure Cognitive Search, ponieważ niektóre funkcje portalu używają interfejsu API ga, który nie obsługuje parametru. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w usłudze Azure Cognitive usługa wyszukiwania s zapewnia dodatkową kontrolę nad kluczem używanym do szyfrowania danych magazynowanych. Ta funkcja jest często stosowana dla klientów z specjalnymi wymaganiami dotyczącymi zgodności w celu zarządzania kluczami szyfrowania danych przy użyciu magazynu kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługa wyszukiwania usługi Azure Cognitive w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure Cognitive usługa wyszukiwania wymagała wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/rbac. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Cognitive usługa wyszukiwania w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi Azure Cognitive usługa wyszukiwania, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie usługa wyszukiwania Usługi Azure Cognitive przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Azure Cognitive usługa wyszukiwania, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie ustawień diagnostycznych dla usług wyszukiwania w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie ustawień diagnostycznych dla usług wyszukiwania w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Dzienniki diagnostyczne w zasobach usług AI platformy Azure powinny być włączone | Włączanie dzienników dla zasobów usług Azure AI. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługa wyszukiwania s (microsoft.search/searchservices) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługa wyszukiwania s (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.