你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 认知搜索的 Azure Policy 内置定义
此页是 Azure 认知搜索的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 认知搜索
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Azure AI 搜索服务应为区域冗余 | Azure AI 搜索服务可以配置为区域冗余或非区域冗余。 将两个或更多个副本添加到搜索服务时,将使用可用性区域。 每个副本将放置在该地区内不同的可用性区域中。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
Azure AI 服务资源应使用 Azure 专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/AzurePrivateLink/Overview | Audit、Disabled | 1.0.0 |
Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 请注意,虽然禁用本地身份验证参数仍处于预览阶段,但此策略的拒绝效果可能会导致 Azure 认知搜索门户功能受限,因为门户的某些功能使用不支持此参数的 GA API。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应使用客户管理的密钥来加密静态数据 | 对 Azure 认知搜索使用客户管理的密钥启用静态加密,可对用于静态加密数据的密钥进行额外控制。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure 认知搜索服务配置为禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 | 修改,已禁用 | 1.0.0 |
将 Azure 认知搜索服务配置为禁用公用网络访问 | 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | 修改,已禁用 | 1.0.0 |
配置具有专用终结点的 Azure 认知搜索服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
应启用 Azure AI 服务资源中的诊断日志 | 为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。