Creare criteri personalizzati per Microsoft Foundry

Informazioni su come usare criteri di Azure personalizzati per consentire ai team di gestire autonomamente le risorse Microsoft Foundry. Applicare protezioni e vincoli alle configurazioni consentite in modo da offrire flessibilità in base ai requisiti di sicurezza e conformità.

Usando criteri personalizzati, è possibile:

• Applicare le regole di governance: impedire la creazione non autorizzata di hub, progetti, connessioni o host di capacità di Foundry.
• Controllare il comportamento delle risorse: verificare le configurazioni di sicurezza, applicare l'assegnazione di tag o consentire solo le integrazioni approvate.
• Garantire la conformità: applicare in modo coerente gli standard operativi e di sicurezza aziendali in tutti gli ambienti.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non ne hai uno, crea un account gratuito Azure, che include una sottoscrizione di valutazione gratuita.
• Accesso a un ruolo che consente di completare le assegnazioni di ruolo, ad esempio Proprietario. Per altre informazioni sulle autorizzazioni, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry.
• Ruolo Collaboratore criteri risorse (privilegio minimo) o Proprietario nell'ambito in cui si crea e si assegna la definizione dei criteri.

Per altre informazioni, vedere Che è Criteri di Azure?

Passaggi per creare un criterio personalizzato

1. Oprire i criteri nel portale di Azure

   • Passare a Azure Portal.
   • Cerca Politica e selezionala.

2. Definire un nuovo criterio

   • Nella sezione Creazione selezionare Definizioni>e definizione dei criteri.
   • Fornire:
     • Percorso di definizione: sottoscrizione (si applica alle risorse in una singola sottoscrizione) o gruppo di gestione (si applica a più sottoscrizioni).
     • Nome: nome univoco (ad esempio, Deny-Unapproved-Connections).
     • Descrizione: spiegare lo scopo (ad esempio, "Limitare le connessioni Foundry alle categorie approvate").
     • Categoria: usare una categoria esistente o crearne una, AI Governancead esempio .

3. Aggiungere una regola dei criteri

   • Immettere la regola in formato JSON. Ad esempio, i criteri seguenti limitano le connessioni Foundry alle categorie approvate:

     {
        "mode": "All",
        "policyRule": {
          "if": {
            "allOf": [
              {
                "field": "type",
                "in": [
                  "Microsoft.CognitiveServices/accounts/connections",
                  "Microsoft.CognitiveServices/accounts/projects/connections"
                ]
              },
              {
                "field": "Microsoft.CognitiveServices/accounts/connections/category",
                "notIn": "[parameters('allowedCategories')]"
              }
            ]
          },
          "then": {
            "effect": "Deny"
          }
        },
        "parameters": {
          "allowedCategories": {
            "type": "Array",
            "metadata": {
              "displayName": "Allowed connection categories",
              "description": "List of connection categories approved for use"
            }
          }
        }
     }
     

     Per una versione completa e pronta all'uso di questo criterio, vedere l'esempio completo:

     {
       "properties": {
         "displayName": "Only selected Foundry connection categories are allowed",
         "policyType": "Custom",
         "mode": "All",
         "description": "Only selected Foundry connection categories are allowed",
         "version": "1.0.0",
         "parameters": {
           "allowedCategories": {
             "type": "Array",
             "metadata": {
               "description": "Categories allowed for Microsoft.CognitiveServices/accounts/connections and Microsoft.CognitiveServices/accounts/projects/connections",
               "displayName": "Allowed connection categories"
             },
             "defaultValue": [
               "BingLLMSearch"
             ]
           }
         },
         "policyRule": {
           "if": {
             "anyOf": [
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               },
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/projects/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/projects/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               }
             ]
           },
           "then": {
             "effect": "deny"
           }
         },
         "versions": [
           "1.0.0"
         ]
       }
     }
     

Questo criterio nega la creazione di connessioni Foundry quando la connessione category non è nel allowedCategories parametro . Si applica sia a Microsoft.CognitiveServices/accounts/connections che a Microsoft.CognitiveServices/accounts/projects/connections.

Per personalizzare il comportamento, aggiorna allowedCategories (o esegui l'override quando assegni la politica) con le categorie di connessione approvate dall'organizzazione.

Riferimenti:

• Riferimento: Struttura della definizione dei criteri
• Riferimento: Struttura delle regole di una politica
• Riferimento: Effetti dei criteri

1. Assegnare la politica

   • Dopo aver salvato, assegnare la policy all'ambito desiderato (sottoscrizione, gruppo di risorse o hub).

2. Convalidare l'assegnazione dei criteri

   • Provare a creare una connessione con una categoria che non si trova in allowedCategories e verificare che la richiesta venga negata.
   • Provare a creare una connessione con una categoria che si trova in allowedCategories e verificare che la richiesta abbia esito positivo.

Scenari comuni di criteri personalizzati

• Consenti solo categorie di connessioni approvate
  Bloccare qualsiasi categoria di connessione diversa da quelle approvate dall'organizzazione.

• Negare le connessioni che usano chiavi API come tipo di autenticazione
  Richiedere tutti gli altri tipi di autenticazione perché le chiavi API sono in genere meno sicure.

• Verificare le risorse Foundry senza un host di funzionalità dell'agente valido
  Verificare l'esistenza di un ID ARM della subnet di rete virtuale e di risorse di archiviazione personalizzate quando si usa il servizio Agent in un ambiente regolamentato.

• Nega la creazione di tipi di account che non dispongono di funzionalità foundry complete
  Assicurarsi che i nuovi account siano configurati in modo che gli utenti possano accedere a tutte le funzionalità di Foundry.

Libreria di esempio

Esplorare i modelli e gli esempi pronti all'uso nel repository GitHub:
Definizioni di criteri personalizzati

Questa libreria include modelli JSON per scenari comuni.

Passaggi successivi

• Esaminare Criteri predefiniti per Foundry per i criteri integrati e personalizzati per la conformità completa.
• Testare i criteri in un ambiente non di produzione prima di applicarli su larga scala.

Risoluzione dei problemi

• Se non è possibile creare o assegnare una definizione di criteri, verificare di avere il ruolo richiesto nell'ambito in uso.
• Se una connessione non è bloccata come previsto, verificare che l'ambito di assegnazione dei criteri includa la risorsa di destinazione.
• Se un criterio blocca più risorse del previsto, rivedere il valore allowedCategories utilizzato nell'assegnazione.
• La valutazione dei criteri può richiedere fino a 30 minuti dopo l'assegnazione. Per forzare la valutazione immediata, eseguire az policy state trigger-scan --resource-group <resource-group-name>.