此页是 Azure 认知搜索的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 认知搜索
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 请注意,虽然禁用本地身份验证参数仍处于预览阶段,但此策略的拒绝效果可能会导致 Azure 认知搜索门户功能受限,因为门户的某些功能使用不支持此参数的 GA API。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用客户管理的密钥来加密静态数据 | 对 Azure 认知搜索使用客户管理的密钥启用静态加密,可对用于静态加密数据的密钥进行额外控制。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 将 Azure 认知搜索服务配置为禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 | 修改,已禁用 | 1.0.0 |
| 将 Azure 认知搜索服务配置为禁用公用网络访问 | 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | 修改,已禁用 | 1.0.0 |
| 配置具有专用终结点的 Azure 认知搜索服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。