Встроенные определения политик в Политике Azure для Сервисов ИИ Azure
Эта страница представляет собой индекс встроенных определений политик Политика Azure для служб ИИ Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Службы ИИ Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Audit, Deny, Disabled | 2.2.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Ресурсы служб искусственного интеллекта Azure должны использовать Приватный канал Azure | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в следующем: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Учетные записи Cognitive Services должны использовать управляемое удостоверение | Назначение управляемого удостоверения учетной записи Cognitive Services позволяет выполнять защищенную аутентификацию. Такое удостоверение используется учетной записью Cognitive Services для безопасного обмена данными с другими службами Azure (например, Azure Key Vault), при этом вам не нужно управлять учетными данными. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту | Контролируйте неактивные данные, хранящиеся в Cognitive Services, с помощью хранилища, принадлежащего клиенту. Дополнительные сведения о хранилище, принадлежащем клиенту, см. по адресу https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Настройка ресурсов служб искусственного интеллекта Azure для отключения доступа к локальному ключу (отключение локальной проверки подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка учетных записей Cognitive Services для отключения методов локальной проверки подлинности | Отключите методы локальной проверки подлинности, чтобы учетные записи Cognitive Services требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/cs/auth. | Modify, Disabled | 1.0.0 |
| Настройка отключения доступа к общедоступной сети для учетных записей Cognitive Services | Отключите доступ к общедоступной сети для своего ресурса Cognitive Services, чтобы он был недоступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://go.microsoft.com/fwlink/?linkid=2129800. | Disabled, Modify | 3.0.0 |
| Настройка учетных записей Cognitive Services с частными конечными точками | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
| Журналы диагностики в ресурсах служб ИИ Azure должны быть включены | Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для Cognitive Services (microsoft.cognitiveservices/accounts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.