Azure Yapay Zeka hizmetleri için Azure İlkesi yerleşik ilke tanımları
Bu sayfa, Azure AI hizmetleri için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her bir yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanmaktadır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Yapay Zeka Hizmetleri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure AI Services kaynakları bekleyen verileri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelemelidir | Bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarların kullanılması, döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü üzerinde daha fazla denetim sağlar. Bu özellikle ilgili uyumluluk gereksinimlerine sahip kuruluşlar için geçerlidir. Bu, varsayılan olarak değerlendirilmez ve yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimlerinin gerektirdiği durumlarda uygulanmalıdır. Etkinleştirilmemişse, veriler platform tarafından yönetilen anahtarlar kullanılarak şifrelenir. Bunu uygulamak için, geçerli kapsam için Güvenlik İlkesi'ndeki 'Efekt' parametresini güncelleştirin. | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Azure AI Services kaynakları Azure Özel Bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işleyerek veri sızıntısı risklerini azaltır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/AzurePrivateLink/Overview | Denetim, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesapları yönetilen kimlik kullanmalıdır | Bilişsel Hizmet hesabınıza yönetilen kimlik atamak, güvenli kimlik doğrulamasının sağlanmasına yardımcı olur. Bu kimlik, kimlik bilgilerini yönetmek zorunda kalmadan Azure Key Vault gibi diğer Azure hizmetleriyle güvenli bir şekilde iletişim kurmak için bu Bilişsel hizmet hesabı tarafından kullanılır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesapları müşteriye ait depolama alanını kullanmalıdır | Bilişsel Hizmetler'de bekleyen verileri denetlemek için müşteriye ait depolama alanını kullanın. Müşteriye ait depolama alanı hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/cogsvc-cmk. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Yerel anahtar erişimini devre dışı bırakmak için Azure AI Services kaynaklarını yapılandırma (yerel kimlik doğrulamasını devre dışı bırakma) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını yerel kimlik doğrulama yöntemlerini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler hesaplarınızın yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesi için yerel kimlik doğrulama yöntemlerini devre dışı bırakın. Daha fazla bilgi için: https://aka.ms/cs/auth. | Değiştir, Devre Dışı | 1.0.0 |
| Bilişsel Hizmetler hesaplarını genel ağ erişimini devre dışı bırakmak için yapılandırma | Bilişsel Hizmetler kaynağınızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800. | Devre Dışı, Değiştir | 3.0.0 |
| Bilişsel Hizmetler hesaplarını özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI hizmetleri kaynaklarındaki tanılama günlükleri etkinleştirilmelidir | Azure AI hizmetleri kaynakları için günlükleri etkinleştirin. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ına Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Olay Hub'ına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics'e Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Bilişsel Hizmetler (microsoft.cognitiveservices/accounts) için depolama alanına kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Bilişsel Hizmetler için Depolama Hesabına (microsoft.cognitiveservices/accounts) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.