Regular implementaciones en el Catálogo de modelo mediante directivas
El Catálogo de modelo de Estudio de Azure Machine Learning proporciona acceso a muchos modelos de base de código abierto, mientras que la regulación de las implementaciones de estos modelos a través de la aplicación de estándares de la organización puede resultar de gran importancia para cumplir con los requisitos de seguridad y cumplimiento. En este artículo, aprenderá a restringir las implementaciones desde el Catálogo de modelo gracias a una instancia integrada de Azure Policy.
Azure Policy es una herramienta de gobernanza que ofrece a los usuarios la capacidad de auditar, aplicar el cumplimiento en tiempo real y administrar su entorno de Azure a gran escala. Para obtener más información, consulte la Información general del servicio Azure Policy.
Escenarios de uso de ejemplo:
- Desea aplicar las directivas de seguridad de la organización, pero no dispone de una manera automatizada y confiable de hacerlo.
- Quiere relajar algunos requisitos para los equipos de pruebas, pero desea mantener controles estrechos en el entorno de producción. Necesita una manera automatizada y sencilla de separar la aplicación de los recursos.
Implementaciones de modelo de registro de Azure Machine Learning para Azure Policy
Con la directiva integrada para implementaciones de modelos de registro(versión preliminar) de Azure Machine Learning, es posible denegar todas las implementaciones del registro o permitir implementaciones de modelos desde un registro específico. También es posible agregar una lista de bloqueados opcional de modelos y agregar excepciones a la lista dentro del registro permitido.
Esta directiva integrada solo admite Deny
efecto.
Deny:
Con el efecto de la directiva establecido en denegar, la directiva bloquea la creación de nuevas implementaciones de registros de Azure Machine Learning que no cumplan con la definición de directiva y generen un evento en el registro de actividad. Las implementaciones no compatibles existentes no se ven afectadas.
Las colecciones del Catálogo de modelo están disponibles para los usuarios que usan los registros subyacentes. Se puede encontrar el nombre del registro subyacente en el identificador de recurso del modelo.
Creación de una asignación de directiva
En la página principal de Azure, escriba Directiva en la barra de búsqueda y seleccione el icono de Azure Policy.
En el servicio Azure Policy, en Creación, seleccione Asignaciones.
En la página Asignaciones, seleccione el icono Directiva de asignación de la parte superior.
En la pestaña de conceptos básicos de la página de Directivas de asignación, actualice los campos siguientes:
- Ámbito: seleccione a qué suscripciones y grupos de recursos de Azure se aplicarán las directivas.
- Exclusiones: seleccionar los recursos del ámbito que se van a excluir de la asignación de directiva.
- Definición de directiva: seleccione la definición de directiva que se va a aplicar al ámbito con exclusiones. Escriba "Azure Machine Learning" en la barra de búsqueda y busque la directiva "[Versión preliminar] las implementaciones del registro de modelos de Azure Machine Learning están restringidas, excepto las de registro permitido". Seleccione la directiva y elija Agregar.
Seleccione la pestaña Parámetros y actualice los parámetros de asignación de directiva y efectos. Asegúrese de desactivar la opción "Mostrar solo los parámetros que necesiten entrada o revisión" para que se muestren todos los parámetros. Para aclarar mejor lo que hace el parámetro, mantenga el mouse sobre el icono de información que hay junto al nombre del parámetro.
Si no se establecen identificadores de recurso del modelo en el parámetro AssetIds de modelo restringido al asignar la directiva, esta solo permitirá implementar todos los modelos desde el registro de modelos especificado en el parámetro Nombre de registro permitido.
Seleccione Revisar y crear para finalizar la asignación de directiva. La asignación de directivas tarda aproximadamente 15 minutos en activarse para los nuevos recursos.
Deshabilite la directiva.
Quite la asignación de directiva en Azure Portal mediante los pasos siguientes:
- Ve al panel Directiva en Azure Portal.
- Seleccione Asignaciones.
- Seleccione en el botón ... que hay junto a la asignación de directiva y seleccione Eliminar asignación.
Limitaciones
- Cualquier cambio en la directiva (incluyendo la actualización de la definición de directiva, las asignaciones, las exenciones o el conjunto de directivas) tarda 10 minutos para que esos cambios sean efectivos en el proceso de evaluación.
- El cumplimiento se notifica para las implementaciones recién creadas y actualizadas. Durante la versión preliminar pública, los registros de cumplimiento permanecen durante 24 horas. Las implementaciones de modelos que existan antes de que se asignen estas definiciones de directiva no notificarán el cumplimiento. Tampoco es posible desencadenar las evaluaciones de implementaciones que existían antes de configurar la definición y la asignación de directivas.
- No es posible agregar a la lista de permitidos más de un registro en una asignación de directiva.
Pasos siguientes
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información acerca de cómo crear directivas mediante programación.