适用于 Azure AI 服务的 Azure Policy 内置策略定义

此页是适用于 Azure AI 服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure AI 服务

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
Azure AI 服务资源应限制网络访问 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 Audit、Deny、Disabled 3.1.0
认知服务帐户应禁用公用网络访问 若要提高认知服务帐户的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://go.microsoft.com/fwlink/?linkid=2129800 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 Audit、Deny、Disabled 3.0.1
认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 为了满足法规符合性标准,通常需要使用客户管理的密钥。 利用客户管理的密钥,可以使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 通过 https://go.microsoft.com/fwlink/?linkid=2121321 详细了解客户管理的密钥。 Audit、Deny、Disabled 2.1.0
认知服务帐户应使用托管标识 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 Audit、Deny、Disabled 1.0.0
认知服务帐户应使用客户自有存储 使用客户拥有的存储来控制认知服务中静态存储的数据。 若要了解有关客户拥有的存储详细信息,请访问 https://aka.ms/cogsvc-cmk Audit、Deny、Disabled 2.0.0
认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.0
配置认知服务帐户以禁用本地身份验证方法 禁用本地身份验证方法,使认知服务帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/cs/auth 修改,已禁用 1.0.0
将认知服务帐户配置为禁用公用网络访问 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 禁用、修改 3.0.0
为认知服务帐户配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 DeployIfNotExists、Disabled 3.0.0
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到事件中心的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到事件中心。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到 Log Analytics 的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到存储的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到存储帐户。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0

后续步骤