Создание настраиваемых политик для Microsoft Foundry

Узнайте, как использовать пользовательские политики Azure для самостоятельного управления ресурсами Microsoft Foundry. Примените ограничения и ограничивающие меры на разрешенные конфигурации, чтобы обеспечить гибкость при соблюдении требований к безопасности и соответствию стандартам.

С помощью пользовательских политик можно:

• Обеспечение управления: предотвращение несанкционированного создания центров Foundry, проектов, подключений или узлов возможностей.
• Управление поведением ресурсов: обеспечение конфигураций безопасности, применение тегов или разрешение только утвержденных интеграций.
• Обеспечение соответствия требованиям. Согласованное применение корпоративных стандартов безопасности и эксплуатации в разных средах.

Необходимые условия

• Учетная запись Azure с активной подпиской. Если у вас нет, создайте учетную запись free Azure, которая включает бесплатную пробную подписку.
• Доступ к роли, которая позволяет выполнять назначения ролей в системе, например владельца. Дополнительные сведения о разрешениях см. в разделе Role-based access control for Microsoft Foundry.
• Роль участника политики ресурсов (наименее привилегированный ) или роль владельца в области, в которой вы создаете и назначаете определение политики.

Дополнительные сведения см. в разделе Что такое Политика Azure?

Действия по созданию настраиваемой политики

1. Откройте политику в портале Azure

   • Перейдите на портал Azure.
   • Найдите Политику и выберите ее.

2. Определение новой политики

   • В разделе "Создание" выберите "Определения"> и "+ Определение политики".
   • Предоставить:
     • Расположение определения: подписка (применяется к ресурсам в одной подписке) или группе управления (применяется к нескольким подпискам).
     • Имя: уникальное имя (например, Deny-Unapproved-Connections).
     • Описание: Объясните цель (например, "Ограничить подключения Foundry к утвержденным категориям").
     • Категория: используйте существующую категорию или создайте ее, например AI Governance.

3. Добавление правила политики

   • Введите правило в формате JSON. Например, следующая политика ограничивает подключения Foundry утвержденными категориями:

     {
        "mode": "All",
        "policyRule": {
          "if": {
            "allOf": [
              {
                "field": "type",
                "in": [
                  "Microsoft.CognitiveServices/accounts/connections",
                  "Microsoft.CognitiveServices/accounts/projects/connections"
                ]
              },
              {
                "field": "Microsoft.CognitiveServices/accounts/connections/category",
                "notIn": "[parameters('allowedCategories')]"
              }
            ]
          },
          "then": {
            "effect": "Deny"
          }
        },
        "parameters": {
          "allowedCategories": {
            "type": "Array",
            "metadata": {
              "displayName": "Allowed connection categories",
              "description": "List of connection categories approved for use"
            }
          }
        }
     }
     

     Полный готовый к использованию вариант этой политики см. в полном примере:

     {
       "properties": {
         "displayName": "Only selected Foundry connection categories are allowed",
         "policyType": "Custom",
         "mode": "All",
         "description": "Only selected Foundry connection categories are allowed",
         "version": "1.0.0",
         "parameters": {
           "allowedCategories": {
             "type": "Array",
             "metadata": {
               "description": "Categories allowed for Microsoft.CognitiveServices/accounts/connections and Microsoft.CognitiveServices/accounts/projects/connections",
               "displayName": "Allowed connection categories"
             },
             "defaultValue": [
               "BingLLMSearch"
             ]
           }
         },
         "policyRule": {
           "if": {
             "anyOf": [
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               },
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/projects/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/projects/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               }
             ]
           },
           "then": {
             "effect": "deny"
           }
         },
         "versions": [
           "1.0.0"
         ]
       }
     }
     

Эта политика запрещает создание подключений Foundry, если подключение category не находится в параметре allowedCategories . Применяется как к Microsoft.CognitiveServices/accounts/connections, так и к Microsoft.CognitiveServices/accounts/projects/connections.

Чтобы настроить поведение, обновите allowedCategories (или переопределите ее при назначении политики) с категориями подключений, утвержденными организацией.

Ссылки:

• Справочник. Структура определения политики
• Справочник. Структура правил политики
• Справочник. Эффекты политики

1. Назначьте политику

   • После сохранения назначьте политику нужной области (подписка, группа ресурсов или узел).

2. Проверка назначения политики

   • Попробуйте создать соединение с категорией, в которую не входит allowedCategories , и подтвердите, что запрос отклонен.
   • Попробуйте создать соединение с категорией, которая находится в allowedCategories сети, и подтвердите, что запрос выполнен успешно.

Распространенные сценарии пользовательской политики

• Разрешить только утвержденные категории подключений
  Блокировка любой категории подключения, отличной от утвержденных вашей организацией.

• Запрет подключений, использующих ключи API в качестве типа проверки подлинности
  Требовать все другие типы проверки подлинности, так как ключи API обычно менее безопасны.

• Аудит ресурсов Foundry без действительного узла функциональности агента
  Проверьте наличие идентификатора ARM подсети виртуальной сети и ресурсов пользовательского хранилища при использовании службы Agent в условиях регулируемой среды.

• Запрет создания типов учетных записей, которые не имеют полных возможностей Foundry
  Убедитесь, что новые учетные записи настроены, чтобы пользователи могли получить доступ ко всем возможностям Foundry.

Пример библиотеки

Изучите готовые шаблоны и примеры в репозитории GitHub:
Пользовательские определения политик

Эта библиотека включает шаблоны JSON для распространенных сценариев.

Дальнейшие действия

• Просмотрите встроенные политики для Foundry для встроенных и пользовательских политик, чтобы обеспечить полное соответствие требованиям.
• Протестируйте политики в непроизводной среде, прежде чем применять их широко.

Устранение неполадок

• Если вы не можете создать или назначить определение политики, убедитесь, что у вас есть необходимая роль в области, которую вы используете.
• Если подключение не заблокировано должным образом, убедитесь, что область назначения политики включает целевой ресурс.
• Если политика блокирует больше ресурсов, чем ожидалось, пересмотрите используемое в назначении значение allowedCategories.
• Оценка политики может занять до 30 минут после назначения. Чтобы принудительно выполнить оценку, выполните команду az policy state trigger-scan --resource-group <resource-group-name>.