Definições internas da Política do Azure para a Pesquisa Cognitiva do Azure
Esta página é um índice das definições de política internas da Política do Azure para a Pesquisa Cognitiva do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Azure Cognitive Search
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O Serviço de Pesquisa do Azure AI deve ser Zona Redundante | O Azure AI Search Service pode ser configurado para ser Zona Redundante ou não. As zonas de disponibilidade são usadas quando você adiciona duas ou mais réplicas ao seu serviço de pesquisa. Cada réplica é colocada em uma zona de disponibilidade diferente dentro da região. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| Os recursos dos Serviços de IA do Azure devem usar o Azure Private Link | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link reduz os riscos de fuga de dados ao lidar com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Auditoria, Desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de Pesquisa Cognitiva do Azure devem ter métodos de autenticação local desativados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os serviços de Pesquisa Cognitiva do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Observe que, embora o parâmetro desabilitar autenticação local ainda esteja em visualização, o efeito de negação para esta política pode resultar em funcionalidade limitada do portal de Pesquisa Cognitiva do Azure, uma vez que alguns recursos do Portal usam a API do GA, que não oferece suporte ao parâmetro. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços de Pesquisa Cognitiva do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seus serviços de Pesquisa Cognitiva do Azure fornece controle adicional sobre a chave usada para criptografar dados em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade para gerenciar chaves de criptografia de dados usando um cofre de chaves. | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar os recursos dos Serviços de IA do Azure para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | DeployIfNotExists, desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para desativar a autenticação local | Desabilite os métodos de autenticação local para que seus serviços de Pesquisa Cognitiva do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure para desativar o acesso à rede pública | Desabilite o acesso à rede pública para seu serviço de Pesquisa Cognitiva do Azure para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Desativado | 1.0.0 |
| Configurar os serviços de Pesquisa Cognitiva do Azure com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu serviço de Pesquisa Cognitiva do Azure, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um Hub de Eventos regional quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite logs para recursos de serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Pesquisa (microsoft.search/searchservices) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Pesquisa (microsoft.search/searchservices) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para serviços de Pesquisa (microsoft.search/searchservices) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para serviços de Pesquisa (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.