Integrierte Azure Policy-Richtliniendefinitionen für Azure KI Services
Diese Seite enthält eine Tabelle mit den integrierten Azure Policy-Richtliniendefinitionen für Azure KI Services. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure KI Services
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (Deaktivieren der lokalen Authentifizierung). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren | Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Cognitive Services-Konten müssen eine verwaltete Identität verwenden | Das Zuweisen einer verwalteten Identität zu Ihrem Cognitive Services-Konto gewährleistet eine sichere Authentifizierung. Diese Identität wird von diesem Cognitive Services-Konto für die sichere Kommunikation mit anderen Azure-Diensten wie z. B. Azure Key Vault verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. | Audit, Deny, Disabled | 1.0.0 |
| Cognitive Services-Konten müssen kundeneigenen Speicher verwenden | Verwenden Sie den kundeneigenen Speicher, um ruhende Daten in Cognitive Services zu steuern. Weitere Informationen zum kundeneigenen Speicher finden Sie unter https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Konfigurieren von Azure KI Services-Ressourcen zum Deaktivieren des lokalen Schlüsselzugriffs (lokale Authentifizierung deaktivieren) | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Cognitive Services-Konten konfigurieren, um lokale Authentifizierungsmethoden zu deaktivieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. | Modify, Disabled | 1.0.0 |
| Cognitive Services-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Cognitive Services-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Disabled, Modify | 3.0.0 |
| Konfigurieren Sie Cognitive Services-Konten mit privaten Endpunkten | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
| In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Log Analytics Workspace for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Storage-Konto for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.