Criar políticas personalizadas para o Microsoft Foundry

Aprenda a usar políticas personalizadas do Azure para permitir que as equipas auto-gerenciem os recursos do Microsoft Foundry. Aplique barreiras de proteção e restrições nas configurações permitidas para que possa oferecer flexibilidade enquanto cumpre os requisitos de segurança e conformidade.

Ao utilizar políticas personalizadas, pode:

• Impor a governação: Prevenir a criação não autorizada de hubs, projetos, ligações ou hosts de capacidades da Foundry.
• Controle o comportamento dos recursos: Assegure configurações de segurança, imponha etiquetas ou permita apenas integrações aprovadas.
• Garantir a conformidade: Aplicar de forma consistente os padrões de segurança e operações empresariais em todos os ambientes.

Pré-requisitos

• Uma conta no Azure com uma subscrição ativa. Se não tiveres uma, cria uma conta Azure free, que inclui uma subscrição de teste gratuita.
• Acesso a um papel que permita completar atribuições de funções, como Proprietário. Para mais informações sobre permissões, consulte Controlo de acesso baseado em funções para Microsoft Foundry.
• O papel de Contribuidor de Política de Recursos (privilégio mínimo) ou o papel de Proprietário no âmbito onde cria e atribui a definição da política.

Para mais informações, consulte O que é Azure Policy?

Passos para criar uma política personalizada

1. Política aberta no portal Azure

   • Vai ao portal Azure.
   • Procure Política e selecione-a.

2. Defina uma nova política

   • Na secção de Autoria , selecione Definições>+ Definição de Política.
   • Fornecer:
     • Localização da definição: Subscrição (aplica-se a recursos numa única subscrição) ou grupo de gestão (aplica-se a várias subscrições).
     • Nome: Um nome único (por exemplo, Deny-Unapproved-Connections).
     • Descrição: Explique o propósito (por exemplo, "Restringir ligações da Foundry a categorias aprovadas").
     • Categoria: Use uma categoria existente ou crie uma, como AI Governance.

3. Adicionar regra de política

   • Entra a regra em formato JSON. Por exemplo, a seguinte política restringe as ligações da Foundry a categorias aprovadas:

     {
        "mode": "All",
        "policyRule": {
          "if": {
            "allOf": [
              {
                "field": "type",
                "in": [
                  "Microsoft.CognitiveServices/accounts/connections",
                  "Microsoft.CognitiveServices/accounts/projects/connections"
                ]
              },
              {
                "field": "Microsoft.CognitiveServices/accounts/connections/category",
                "notIn": "[parameters('allowedCategories')]"
              }
            ]
          },
          "then": {
            "effect": "Deny"
          }
        },
        "parameters": {
          "allowedCategories": {
            "type": "Array",
            "metadata": {
              "displayName": "Allowed connection categories",
              "description": "List of connection categories approved for use"
            }
          }
        }
     }
     

     Para uma versão completa e pronta a usar desta política, consulte a amostra completa:

     {
       "properties": {
         "displayName": "Only selected Foundry connection categories are allowed",
         "policyType": "Custom",
         "mode": "All",
         "description": "Only selected Foundry connection categories are allowed",
         "version": "1.0.0",
         "parameters": {
           "allowedCategories": {
             "type": "Array",
             "metadata": {
               "description": "Categories allowed for Microsoft.CognitiveServices/accounts/connections and Microsoft.CognitiveServices/accounts/projects/connections",
               "displayName": "Allowed connection categories"
             },
             "defaultValue": [
               "BingLLMSearch"
             ]
           }
         },
         "policyRule": {
           "if": {
             "anyOf": [
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               },
               {
                 "allOf": [
                   {
                     "field": "type",
                     "equals": "Microsoft.CognitiveServices/accounts/projects/connections"
                   },
                   {
                     "field": "Microsoft.CognitiveServices/accounts/projects/connections/category",
                     "notIn": "[parameters('allowedCategories')]"
                   }
                 ]
               }
             ]
           },
           "then": {
             "effect": "deny"
           }
         },
         "versions": [
           "1.0.0"
         ]
       }
     }
     

Esta política nega a criação de ligações Foundry quando a ligação category não está dentro do allowedCategories parâmetro. Aplica-se tanto a Microsoft.CognitiveServices/accounts/connections como a Microsoft.CognitiveServices/accounts/projects/connections.

Para personalizar o comportamento, atualize allowedCategories (ou sobreponha-o quando atribuir a política) com as categorias de conexão aprovadas pela sua organização.

Referências:

• Referência: Estrutura de definição de políticas
• Referência: Estrutura das regras políticas
• Referência: Efeitos das políticas

1. Atribuir a política

   • Depois de guardar, atribui a política ao âmbito desejado (subscrição, grupo de recursos ou hub).

2. Validar a atribuição da política

   • Tenta estabelecer uma ligação com uma categoria que não está no allowedCategories e confirme que o pedido foi recusado.
   • Tente criar uma ligação com uma categoria que esteja em allowedCategories e confirme que o pedido foi bem-sucedido.

Cenários comuns de políticas personalizadas

• Permitir apenas categorias de ligação aprovadas
  Bloqueie qualquer categoria de ligação que não seja aprovada pela sua organização.

• Negar ligações que utilizam chaves API como tipo de autenticação
  Exigir todos os outros tipos de autenticação porque as chaves API são normalmente menos seguras.

• Recursos da Audit Foundry sem um host válido de capacidade de Agente
  Verifique a existência de um ID ARM de sub-rede virtual e recursos de armazenamento personalizados ao utilizar o serviço Agent num ambiente regulado.

• Negar a criação de tipos de contas que não tenham todas as capacidades do Foundry
  Garanta que as novas contas estão configuradas para que os utilizadores possam aceder a todas as capacidades do Foundry.

Biblioteca de exemplos

Explore modelos e exemplos prontos a usar no repositório do GitHub:
Definições de políticas personalizadas

Esta biblioteca inclui modelos JSON para cenários comuns.

Próximos passos

• Consulte as Políticas Integradas da Foundry para obter políticas integradas e personalizadas para cumprimento abrangente.
• Testar políticas num ambiente não produtivo antes de as aplicar de forma geral.

Resolução de problemas

• Se não conseguir criar ou atribuir uma definição de política, confirme que tem o papel exigido no âmbito que está a utilizar.
• Se uma ligação não estiver bloqueada como esperado, confirme que o âmbito de atribuição de políticas inclui o recurso alvo.
• Se uma política bloquear mais recursos do que o esperado, reveja o valor allowedCategories utilizado na atribuição.
• A avaliação da política pode demorar até 30 minutos após a atribuição. Para forçar uma avaliação imediata, execute az policy state trigger-scan --resource-group <resource-group-name>.