Definições internas do Azure Policy para o Azure Cognitive Search
Esta página é um índice de definições de políticas internas do Azure Policy para o Azure Cognitive Search. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Azure Cognitive Search
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: O Serviço de Pesquisa de IA do Azure deve ser Com Redundância de Zona | O Serviço de Pesquisa de IA do Azure pode ser configurado para ser Com Redundância de Zona ou não. As zonas de disponibilidade são usadas quando você adiciona duas ou mais réplicas ao serviço de pesquisa. Cada réplica é colocada em uma zona de disponibilidade diferente dentro da região. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| Os recursos dos Serviços de IA do Azure devem usar o Link Privado do Azure | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Audit, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| É preciso desabilitar os métodos de autenticação locais para os serviços do Azure Cognitive Search | Desabilitar os métodos de autenticação local aumenta a segurança, garantindo que os serviços do Azure Cognitive Search exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Observe que, embora o parâmetro para desabilitar a autenticação local ainda esteja em versão prévia, o efeito de negar essa política pode resultar em funcionalidade limitada do portal do Azure Cognitive Search, pois alguns recursos do Portal usam a API em disponibilidade geral que não dá suporte ao parâmetro. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Habilitar a criptografia de dados inativos usando uma chave gerenciada pelo cliente nos serviços do Azure Cognitive Search fornece controle extra sobre a chave usada para criptografar dados inativos. Esse recurso geralmente é aplicável aos clientes que têm requisitos de conformidade especiais para o gerenciamento das chaves de criptografia de dados usando um cofre de chaves. | Audit, Deny, desabilitado | 1.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os serviços do Azure Cognitive Search para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus serviços do Azure Cognitive Search exijam identidades do Azure Active Directory de modo exclusivo para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Desabilitado | 1.0.0 |
| Configurar os serviços do Azure Cognitive Search para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu serviço Azure Cognitive Search para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Desabilitado | 1.0.0 |
| Configurar os serviços do Azure Cognitive Search com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para seu serviço do Azure Cognitive Search, será possível reduzir riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um Hub de Eventos regional em quaisquer dos Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no workspace do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um workspace do Log Analytics regional em quaisquer Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite os logs dos recursos dos serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Serviços de Pesquisa (microsoft.search/searchservices) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.