Azure-szabályzat beépített szabályzatmeghatározásai az Azure AI-szolgáltatásokhoz
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure AI-szolgáltatásokhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure AI services
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Naplózás, megtagadás, letiltva | 2.2.0 |
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
Az Azure AI Services-erőforrásoknak az Azure Private Linket kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform azáltal csökkenti az adatszivárgási kockázatokat, hogy kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán. További információ a privát hivatkozásokról: https://aka.ms/AzurePrivateLink/Overview | Naplózás, letiltva | 1.0.0 |
A Cognitive Services-fiókoknak felügyelt identitást kell használniuk | Felügyelt identitás hozzárendelése a Cognitive Service-fiókhoz a biztonságos hitelesítés biztosításához. Ezt az identitást használja ez a Cognitive Service-fiók más Azure-szolgáltatásokkal, például az Azure Key Vaulttal való kommunikációhoz biztonságos módon anélkül, hogy hitelesítő adatokat kellene kezelnie. | Naplózás, megtagadás, letiltva | 1.0.0 |
A Cognitive Services-fiókoknak ügyfél által birtokolt tárterületet kell használniuk | Az ügyfél tulajdonában lévő tároló használatával szabályozhatja a Cognitive Servicesben inaktív állapotban tárolt adatokat. Ha többet szeretne megtudni az ügyfél tulajdonában lévő tárolóról, látogasson el https://aka.ms/cogsvc-cmkide. | Naplózás, megtagadás, letiltva | 2.0.0 |
Az Azure AI Services erőforrásainak konfigurálása a helyi kulcsok hozzáférésének letiltására (a helyi hitelesítés letiltása) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
Cognitive Services-fiókok konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy a Cognitive Services-fiókok kizárólag a hitelesítéshez igényelhessenek Azure Active Directory-identitásokat. További információ: https://aka.ms/cs/auth. | Módosítás, letiltva | 1.0.0 |
Cognitive Services-fiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a Cognitive Services-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://go.microsoft.com/fwlink/?linkid=2129800. | Letiltva, módosítás | 3.0.0 |
Cognitive Services-fiókok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Engedélyezni kell a diagnosztikai naplókat az Azure AI-szolgáltatások erőforrásaiban | Naplók engedélyezése az Azure AI-szolgáltatások erőforrásaihoz. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, biztonsági incidensek vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 1.0.0 |
A Cognitive Services (microsoft.cognitiveservices/accounts) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Cognitive Servicesbe (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Naplózás engedélyezése kategóriacsoportonként a Cognitive Serviceshez (microsoft.cognitiveservices/accounts) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Cognitive Services (microsoft.cognitiveservices/accounts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Naplózás engedélyezése kategóriacsoportonként a Cognitive Serviceshez (microsoft.cognitiveservices/accounts) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít át egy Cognitive Services-tárfiókba (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.