Definições de política incorporadas do Azure Policy para os Serviços de IA do Azure
Esta página é um índice das definições de política internas da Política do Azure para serviços de IA do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Serviços de IA do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| Os recursos dos Serviços de IA do Azure devem usar o Azure Private Link | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link reduz os riscos de fuga de dados ao lidar com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Auditoria, Desativado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar uma identidade gerenciada | Atribuir uma identidade gerenciada à sua conta do Serviço Cognitivo ajuda a garantir uma autenticação segura. Essa identidade é usada por essa conta de serviço Cognitivo para se comunicar com outros serviços do Azure, como o Cofre da Chave do Azure, de forma segura, sem que você precise gerenciar credenciais. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente | Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, visite https://aka.ms/cogsvc-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas dos Serviços Cognitivos para desativar métodos de autenticação local | Desative os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. | Modificar, Desativado | 1.0.0 |
| Configurar contas de Serviços Cognitivos para desativar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Serviços Cognitivos para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. | Desativado, Modificar | 3.0.0 |
| Configurar contas de Serviços Cognitivos com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, desativado | 3.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite logs para recursos de serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.