Sdílet prostřednictvím


Auditování a správa služby Azure Machine Learning

Když týmy spolupracují ve službě Azure Machine Learning, můžou čelit různým požadavkům na konfiguraci a uspořádání prostředků. Týmy strojového učení můžou hledat flexibilitu při uspořádání pracovních prostorů pro spolupráci nebo velikost výpočetních clusterů podle požadavků jejich případů použití. V těchto scénářích může produktivita těžit, pokud týmy aplikací můžou spravovat vlastní infrastrukturu.

Jako správce platformy můžete použít zásady k rozložení mantinely pro týmy ke správě vlastních prostředků. Azure Policy pomáhá auditovat a řídit stav prostředků. Tento článek vysvětluje, jak můžete používat kontrolní mechanismy auditu a postupy zásad správného řízení pro Azure Machine Learning.

Zásady pro Azure Machine Learning

Azure Policy je nástroj zásad správného řízení, který umožňuje zajistit, aby prostředky Azure splňovaly vaše zásady.

Azure Policy poskytuje sadu zásad, které můžete použít pro běžné scénáře se službou Azure Machine Learning. Tyto definice zásad můžete přiřadit ke stávajícímu předplatnému nebo je použít jako základ k vytvoření vlastních definic.

Následující tabulka uvádí předdefinované zásady, které můžete přiřadit pomocí služby Azure Machine Learning. Seznam všech předdefinovaných zásad Azure najdete v tématu Předdefinované zásady.

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Nasazení služby Azure Machine Learning by měla používat jenom schválené modely registru. Omezení nasazení modelů registru pro řízení externě vytvořených modelů používaných ve vaší organizaci Audit, Odepřít, Zakázáno 1.0.0-preview
[Preview]: Nasazení registru modelů služby Azure Machine Learning jsou omezená s výjimkou povoleného registru. Nasaďte pouze modely registru v povoleném registru a nejsou omezeny. Odepřít, zakázáno 1.0.0-preview
Výpočetní instance služby Azure Machine Learning by měla mít vypnutí nečinnosti. Když máte plán nečinnosti vypnutí, sníží se náklady vypnutím výpočetních prostředků, které jsou nečinné po předem určeném období aktivity. Audit, Odepřít, Zakázáno 1.0.0
Výpočetní instance služby Azure Machine Learning by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru. Ujistěte se, že výpočetní instance služby Azure Machine Learning běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Výpočetní prostředky služby Azure Machine Learning by měly být ve virtuální síti. Virtuální sítě Azure poskytují lepší zabezpečení a izolaci výpočetních clusterů a instancí služby Azure Machine Learning a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. Audit, zakázáno 1.0.1
Výpočetní prostředky služby Azure Machine Learning by měly mít zakázané místní metody ověřování. Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočty služby Machine Learning vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. Audit, Odepřít, Zakázáno 2.1.0
Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. Audit, Odepřít, Zakázáno 1.1.0
Pracovní prostory služby Azure Machine Learning by měly zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory služby Machine Learning nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Audit, Odepřít, Zakázáno 2.0.1
Pracovní prostory služby Azure Machine Learning by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě. Azure ML provádí přechod na novou platformu rozhraní API V2 v Azure Resource Manageru a pomocí parametru V1LegacyMode můžete řídit verzi platformy ROZHRANÍ API. Když povolíte parametr V1LegacyMode, budete moct zachovat pracovní prostory ve stejné izolaci sítě jako V1, i když nebudete mít nové funkce V2. Starší verzi režimu V1 doporučujeme zapnout jenom v případech, kdy chcete zachovat data řídicí roviny AzureML v privátních sítích. Další informace najdete tady: https://aka.ms/V1LegacyMode. Audit, Odepřít, Zakázáno 1.0.0
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Pracovní prostory služby Azure Machine Learning by měly používat spravovanou identitu přiřazenou uživatelem. Manange přístup k pracovnímu prostoru Azure ML a přidruženým prostředkům, Azure Container Registry, KeyVault, Storage a App Insights pomocí spravované identity přiřazené uživatelem. Ve výchozím nastavení používá pracovní prostor Azure ML spravovanou identitu přiřazenou systémem pro přístup k přidruženým prostředkům. Spravovaná identita přiřazená uživatelem umožňuje vytvořit identitu jako prostředek Azure a udržovat životní cyklus této identity. Další informace najdete na adrese https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Odepřít, Zakázáno 1.0.0
Konfigurace výpočetních prostředků služby Azure Machine Learning pro zakázání místních metod ověřování Zakažte metody ověřování umístění tak, aby výpočty služby Machine Learning vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. Upravit, zakázáno 2.1.0
Konfigurace pracovního prostoru Azure Machine Learning pro použití privátních zón DNS K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Machine Learning. Další informace najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, zakázáno 1.1.0
Konfigurace pracovních prostorů Služby Azure Machine Learning pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro pracovní prostory služby Azure Machine Learning, aby vaše pracovní prostory nejsou přístupné přes veřejný internet. To pomáhá chránit pracovní prostory před riziky úniku dat. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Upravit, zakázáno 1.0.3
Konfigurace pracovních prostorů Azure Machine Learning s využitím privátních koncových bodů Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovního prostoru Služby Azure Machine Learning můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, zakázáno 1.0.0
Konfigurace nastavení diagnostiky pro pracovní prostory Azure Machine Learning do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro pracovní prostory Služby Azure Machine Learning pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakýkoli pracovní prostor služby Azure Machine Learning, ve kterém chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 1.0.1
Protokoly prostředků v pracovních prostorech služby Azure Machine Learning by měly být povolené. Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 1.0.1

Zásady je možné nastavit v různých oborech, například na úrovni předplatného nebo skupiny prostředků. Další informace najdete v dokumentaci ke službě Azure Policy.

Přiřazení předdefinovaných zásad

Pokud chcete zobrazit předdefinované definice zásad souvisejících se službou Azure Machine Learning, postupujte následovně:

  1. Na webu Azure Portal přejděte na Azure Policy.
  2. Vyberte definice.
  3. Jako typ vyberte Předdefinované. V kategorii vyberte Machine Learning.

Tady můžete vybrat definice zásad a zobrazit je. Při prohlížení definice můžete pomocí odkazu Přiřadit zásadu přiřadit ke konkrétnímu oboru a nakonfigurovat parametry pro zásadu. Další informace najdete v tématu Vytvoření přiřazení zásady k identifikaci nevyhovujících prostředků pomocí webu Azure Portal.

Zásady můžete také přiřadit pomocí Azure PowerShellu, Azure CLI nebo šablon.

Zásady podmíněného přístupu

Pokud chcete řídit, kdo má přístup k vašemu pracovnímu prostoru Azure Machine Learning, použijte podmíněný přístup Microsoft Entra. Pokud chcete použít podmíněný přístup pro pracovní prostory Azure Machine Learning, přiřaďte k aplikaci s názvem Azure Machine Learning zásady podmíněného přístupu. ID aplikace je 0736f41a-0425-bdb5-1563eff02385.

Povolení samoobslužné služby pomocí cílových zón

Cílové zóny jsou vzorem architektury, který při nastavování prostředí Azure představuje škálování, zásady správného řízení, zabezpečení a produktivitu. Cílová zóna dat je prostředí nakonfigurované správcem, které tým aplikace používá k hostování dat a analytických úloh.

Účelem cílové zóny je zajistit, aby se při spuštění týmu v prostředí Azure prováděla veškerá práce konfigurace infrastruktury. Například kontrolní mechanismy zabezpečení jsou nastavené v souladu se standardy organizace a je nastavené síťové připojení.

Když použijete vzor cílových zón, týmy strojového učení můžou nasazovat a spravovat vlastní prostředky na bázi samoobslužných služeb. Pomocí zásad Azure jako správce můžete auditovat a spravovat prostředky Azure pro zajištění dodržování předpisů.

Azure Machine Learning se integruje s cílovými zónami dat ve scénáři správy a analýzy architektury přechodu na cloud. Tato referenční implementace poskytuje optimalizované prostředí pro migraci úloh strojového učení do služby Azure Machine Learning a zahrnuje předkonfigurované zásady.

Konfigurace předdefinovaných zásad

Výpočetní instance by měla mít vypnutí nečinnosti.

Tato zásada určuje, jestli má výpočetní instance služby Azure Machine Learning mít povolené nečinné vypnutí. Vypnutí nečinnosti automaticky zastaví výpočetní instanci, když je nečinná po zadané časové období. Tato zásada je užitečná pro úspory nákladů a k zajištění zbytečného využití prostředků.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní instanci bez povoleného vypnutí nečinnosti a v protokolu aktivit se vytvoří událost upozornění.

Výpočetní instance by se měly znovu vytvořit, aby se získaly aktualizace softwaru.

Určuje, jestli se mají výpočetní instance Služby Azure Machine Learning auditovat, aby se zajistilo, že používají nejnovější dostupné aktualizace softwaru. Tato zásada je užitečná k zajištění toho, aby výpočetní instance spouštěly nejnovější aktualizace softwaru pro zajištění zabezpečení a výkonu. Další informace najdete v tématu Správa ohrožení zabezpečení pro Azure Machine Learning.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Zakázáno. Pokud je nastavená možnost Audit, v protokolu aktivit se vytvoří událost upozornění, když výpočetní prostředky nepoužívají nejnovější aktualizace softwaru.

Výpočetní cluster a instance by měly být ve virtuální síti.

Řídí auditování výpočetních prostředků clusteru a instancí za virtuální sítí.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní prostředky, které nejsou nakonfigurované za virtuální sítí, a v protokolu aktivit se vytvoří událost upozornění.

Výpočetní prostředky by měly mít zakázané místní metody ověřování.

Určuje, jestli má výpočetní cluster nebo instance Služby Azure Machine Learning zakázat místní ověřování (SSH).

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit výpočetní prostředky s povoleným SSH a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit výpočetní prostředky, pokud není protokol SSH zakázaný. Při pokusu o vytvoření výpočetních prostředků s povoleným SSH dojde k chybě. Tato chyba se také protokoluje v protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.

Pracovní prostory by měly být šifrované pomocí klíče spravovaného zákazníkem.

Určuje, jestli má být pracovní prostor šifrovaný pomocí klíče spravovaného zákazníkem, nebo pomocí klíče spravovaného Microsoftem za účelem šifrování metrik a metadat. Další informace o použití klíče spravovaného zákazníkem najdete v části Věnované šifrování dat ve službě Azure Cosmos DB .

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez klíče spravovaného zákazníkem a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud neurčí klíč spravovaný zákazníkem. Pokus o vytvoření pracovního prostoru bez klíče spravovaného zákazníkem způsobí chybu podobnou Resource 'clustername' was disallowed by policy této chybě a v protokolu aktivit se vytvoří chyba. Identifikátor zásady se také vrátí jako součást této chyby.

Konfigurace pracovních prostorů pro zakázání přístupu k veřejné síti

Určuje, jestli má pracovní prostor zakázat síťový přístup z veřejného internetu.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor s veřejným přístupem a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, který umožňuje přístup k síti z veřejného internetu.

Pracovní prostory by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě.

Určuje, jestli má pracovní prostor povolit režim V1LegacyMode pro podporu zpětné kompatibility izolace sítě. Tato zásada je užitečná, pokud chcete zachovat data řídicí roviny služby Azure Machine Learning v privátních sítích. Další informace najdete v tématu Změna izolace sítě pomocí nové platformy rozhraní API.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez povolení V1LegacyMode a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud nepovolí režim V1LegacyMode.

Určuje, jestli má pracovní prostor používat službu Azure Private Link ke komunikaci se službou Azure Virtual Network. Další informace o použití privátního propojení najdete v tématu Konfigurace privátního koncového bodu pro pracovní prostor Azure Machine Learning.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit nebo Odepřít. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez použití privátního propojení a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud nepoužívá privátní propojení. Při pokusu o vytvoření pracovního prostoru bez privátního propojení dojde k chybě. Tato chyba se také protokoluje v protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.

Pracovní prostory by měly používat spravovanou identitu přiřazenou uživatelem.

Určuje, jestli se pracovní prostor vytvoří pomocí spravované identity přiřazené systémem (výchozí) nebo spravované identity přiřazené uživatelem. Spravovaná identita pracovního prostoru slouží k přístupu k přidruženým prostředkům, jako jsou Azure Storage, Azure Container Registry, Azure Key Vault a Aplikace Azure lication Insights. Další informace najdete v tématu Nastavení ověřování mezi Azure Machine Learning a dalšími službami.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Audit, Odepřít nebo Zakázáno. Pokud je nastavená možnost Audit, můžete vytvořit pracovní prostor bez zadání spravované identity přiřazené uživatelem. Používá se identita přiřazená systémem a v protokolu aktivit se vytvoří událost upozornění.

Pokud je zásada nastavená na Odepřít, nemůžete vytvořit pracovní prostor, pokud během procesu vytváření nezadáte identitu přiřazenou uživatelem. Při pokusu o vytvoření pracovního prostoru bez poskytnutí identity přiřazené uživatelem dojde k chybě. Chyba se také zaprotokoluje do protokolu aktivit. Identifikátor zásady se vrátí jako součást této chyby.

Konfigurace výpočetních prostředků pro úpravu nebo zakázání místního ověřování

Tato zásada upraví jakýkoli požadavek na vytvoření výpočetního clusteru nebo instance služby Azure Machine Learning, aby se zakázalo místní ověřování (SSH).

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Upravit nebo Zakázáno. Pokud nastavíte možnost Upravit, jakékoli vytvoření výpočetního clusteru nebo instance v oboru, ve kterém se zásada použije, automaticky zakáže místní ověřování.

Konfigurace pracovního prostoru pro použití privátních zón DNS

Tato zásada nakonfiguruje pracovní prostor tak, aby používal privátní zónu DNS a přepisuje výchozí překlad DNS pro privátní koncový bod.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists. Nastavte privateDnsZoneId na ID Azure Resource Manageru privátní zóny DNS, která se má použít.

Konfigurace pracovních prostorů pro zakázání přístupu k veřejné síti

Nakonfiguruje pracovní prostor tak, aby zakázal síťový přístup z veřejného internetu. Zakázání přístupu k veřejné síti pomáhá chránit pracovní prostory před riziky úniku dat. Místo toho můžete k pracovnímu prostoru přistupovat vytvořením privátních koncových bodů. Další informace najdete v tématu Konfigurace privátního koncového bodu pro pracovní prostor Azure Machine Learning.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na Hodnotu Upravit nebo Zakázáno. Pokud je nastavená možnost Upravit, jakékoli vytvoření pracovního prostoru v oboru, ve kterém se zásady vztahují, automaticky má zakázaný přístup k veřejné síti.

Konfigurace pracovních prostorů s využitím privátních koncových bodů

Nakonfiguruje pracovní prostor tak, aby v zadané podsíti virtuální sítě Azure vytvořil privátní koncový bod.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists. Nastavte privateEndpointSubnetID na ID Azure Resource Manageru podsítě.

Konfigurace diagnostických pracovních prostorů pro odesílání protokolů do pracovních prostorů log Analytics

Nakonfiguruje nastavení diagnostiky pro pracovní prostor Azure Machine Learning tak, aby odesílala protokoly do pracovního prostoru služby Log Analytics.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na DeployIfNotExists nebo Disabled. Pokud je nastavená možnost DeployIfNotExists, zásada vytvoří nastavení diagnostiky pro odesílání protokolů do pracovního prostoru služby Log Analytics, pokud ještě neexistuje.

Protokoly prostředků v pracovních prostorech by měly být povolené.

Audituje, jestli jsou pro pracovní prostor Služby Azure Machine Learning povolené protokoly prostředků. Protokoly prostředků poskytují podrobné informace o operacích prováděných s prostředky v pracovním prostoru.

Pokud chcete tuto zásadu nakonfigurovat, nastavte parametr efektu na AuditIfNotExists nebo Disabled. Pokud je nastavená možnost AuditIfNotExists, zásady auditují, jestli nejsou pro pracovní prostor povolené protokoly prostředků.

Vytváření vlastních definic

Pokud potřebujete vytvořit vlastní zásady pro vaši organizaci, můžete k vytvoření vlastních definic použít strukturu definic Azure Policy. K vytvoření a otestování zásad můžete použít rozšíření Azure Policy Visual Studio Code.

Pokud chcete zjistit aliasy zásad, které můžete použít ve své definici, pomocí následujícího příkazu Azure CLI zobrazte seznam aliasů pro Azure Machine Learning:

az provider show --namespace Microsoft.MachineLearningServices --expand "resourceTypes/aliases" --query "resourceTypes[].aliases[].name"

Pokud chcete zjistit povolené hodnoty pro konkrétní alias, navštivte referenční informace k rozhraní REST API služby Azure Machine Learning.

Kurz (nikoli konkrétní azure Machine Learning) o vytváření vlastních zásad najdete v tématu Vytvoření vlastní definice zásad.

Příklad: Blokování bezserverových výpočetních úloh Sparku

{
    "properties": {
        "displayName": "Deny serverless Spark compute jobs",
        "description": "Deny serverless Spark compute jobs",
        "mode": "All",
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "Microsoft.MachineLearningServices/workspaces/jobs/jobType",
                        "in": [
                            "Spark"
                        ]
                    }
                ]
            },
            "then": {
                "effect": "Deny"
            }
        },
        "parameters": {}
    }
}

Příklad: Konfigurace žádné veřejné IP adresy pro spravované výpočetní prostředky

{
    "properties": {
        "displayName": "Deny compute instance and compute cluster creation with public IP",
        "description": "Deny compute instance and compute cluster creation with public IP",
        "mode": "all",
        "parameters": {
            "effectType": {
                "type": "string",
                "defaultValue": "Deny",
                "allowedValues": [
                    "Deny",
                    "Disabled"
                ],
                "metadata": {
                    "displayName": "Effect",
                    "description": "Enable or disable the execution of the policy"
                }
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                  {
                    "field": "type",
                    "equals": "Microsoft.MachineLearningServices/workspaces/computes"
                  },
                  {
                    "allOf": [
                      {
                        "field": "Microsoft.MachineLearningServices/workspaces/computes/computeType",
                        "notEquals": "AKS"
                      },
                      {
                        "field": "Microsoft.MachineLearningServices/workspaces/computes/enableNodePublicIP",
                        "equals": true
                      }
                    ]
                  }
                ]
              },
            "then": {
                "effect": "[parameters('effectType')]"
            }
        }
    }
}