Definições internas do Azure Policy para o Azure Cognitive Search
Esta página é um índice de definições de políticas internas do Azure Policy para o Azure Cognitive Search. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Pesquisa Cognitiva do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: O Serviço de Pesquisa de IA do Azure deve ser Com Redundância de Zona | O Serviço de Pesquisa de IA do Azure pode ser configurado para ser Com Redundância de Zona ou não. As zonas de disponibilidade são usadas quando você adiciona duas ou mais réplicas ao serviço de pesquisa. Cada réplica é colocada em uma zona de disponibilidade diferente dentro da região. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| O serviço Pesquisa de IA do Azure deve usar um SKU que dê suporte a link privado | Com SKUs com suporte do Azure AI Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.1 |
| Os serviços do Azure AI Search devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que o serviço Azure AI Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.1 |
| Os serviços do Azure AI Search devem ter os métodos de autenticação local desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que os serviços do Azure AI Search exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Observe que, embora o parâmetro desabilitar autenticação local ainda esteja em versão prévia, o efeito de negação dessa política pode resultar em funcionalidade limitada do portal do Azure AI Search, pois alguns recursos do Portal usam a API do GA que não dá suporte ao parâmetro. | Audit, Deny, desabilitado | 1.0.1 |
| Os serviços do Azure AI Search devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seus serviços do Azure AI Search fornece controle adicional sobre a chave usada para criptografar dados em repouso. Esse recurso geralmente é aplicável aos clientes que têm requisitos de conformidade especiais para o gerenciamento das chaves de criptografia de dados usando um cofre de chaves. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| Os recursos dos Serviços de IA do Azure devem usar o Link Privado do Azure | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Audit, desabilitado | 1.0.0 |
| Configurar os serviços do Azure AI Search para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que os serviços do Azure AI Search exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Desabilitado | 1.0.1 |
| Configurar os serviços do Azure AI Search para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o serviço Azure AI Search para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Desabilitado | 1.0.1 |
| Configurar os serviços do Azure AI Search para usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seus serviços do Azure AI Search fornece controle adicional sobre a chave usada para criptografar dados em repouso. Esse recurso geralmente é aplicável aos clientes que têm requisitos de conformidade especiais para o gerenciamento das chaves de criptografia de dados usando um cofre de chaves. | Deny, Desabilitado | 1.0.0 |
| Configurar os serviços do Azure AI Search com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para o serviço Azure AI Search, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um Hub de Eventos regional em quaisquer dos Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no workspace do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um workspace do Log Analytics regional em quaisquer Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite os logs dos recursos dos serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.