ポリシーを使用してモデル カタログでのデプロイを規制する
Azure Machine Learning スタジオのモデル カタログでは多くのオープンソース基盤モデルにアクセスできますが、セキュリティとコンプライアンスの要件を満たすために、組織の標準を適用して、これらのモデルのデプロイを規制することがきわめて重要です。 この記事では、組み込みの Azure Policy を使用して、モデル カタログからのデプロイを制限する方法について説明します。
Azure Policy は、ユーザーが Azure 環境の大規模な監査、リアルタイムでの適用、管理を行うために使用できるガバナンス ツールです。 詳細については、「Azure Policy サービスの概要」を参照してください。
使用シナリオの例を示します。
- 組織のセキュリティ ポリシーを適用する必要があるが、そのための自動化された信頼性の高い方法がない。
- テスト チームのいくつかの要件を緩和する必要があるのに、運用環境に対する厳しい管理は維持する必要がある。 リソースの適用を分離するため、簡単で自動化された方法を必要としている。
Azure Machine Learning レジストリ モデルのデプロイに関する Azure Policy
Azure Machine Learning レジストリ モデルのデプロイに関する組み込みポリシー (プレビュー) を使用すると、すべてのレジストリのデプロイを拒否したり、特定のレジストリからのモデル デプロイを許可したりすることができます。 また、オプションのモデル ブロックリストを追加したり、許可されたレジストリ内の一覧に例外を追加したりすることもできます。
この組み込みポリシーは、Deny
効果のみをサポートします。
Deny:
ポリシーの効果を拒否に設定すると、ポリシーによって、ポリシー定義に準拠していない Azure Machine Learning レジストリからの新しいデプロイの作成がブロックされ、アクティビティ ログにイベントが生成されます。 既存の非準拠のデプロイは影響を受けません。
ユーザーは、基になるレジストリを使用してモデル カタログ コレクションを使用することができます。 基になるレジストリの名前は、モデル資産 ID で確認できます。
ポリシー割り当てを作成する
Azure のホーム ページで、検索バーに「Policy」と入力し、Azure [Policy] アイコンを選択します。
Azure Policy サービスの [作成] で [割り当て] を選択します。
[割り当て] ページで、上部にある [ポリシーの割り当て] アイコンを選択します。
[ポリシーの割り当て] ページの [基本] タブで、次のフィールドを更新します。
- スコープ: ポリシーが適用される Azure サブスクリプションとリソース グループを選択します。
- 除外:ポリシーの割り当てから除外するリソースをスコープから選択します。
- ポリシーの定義:除外対象のスコープに適用するポリシー定義を選択します。 検索バーに「Azure Machine Learning」と入力し、ポリシー '[プレビュー]: Azure Machine Learning モデル レジストリのデプロイは、許可されているレジストリを除いて制限されています' を見つけます。 そのポリシーを選択し、[追加] を選択します。
[パラメータ] タブを選択し、[効果] とポリシー割り当てパラメータを更新します。 すべてのパラメータが表示されるように、[入力または確認が必要なパラメータのみを表示する] チェックボックスを必ずオフにしてください。 パラメータの機能の詳細を確認するには、パラメータ名の横にある情報アイコンにマウス ポインターを合わせます。
ポリシーの割り当て時に [制限されるモデル AssetId] パラメータでモデル資産 ID が設定されない場合、そのポリシーでは、[許可されるレジストリ名] パラメータで指定されたモデル レジストリからのすべてのモデルのデプロイのみが許可されます。
[確認と作成] を選択して、ポリシーの割り当てを完了します。 ポリシーの割り当てが新しいリソースに対してアクティブになるまで、約 15 分かかります。
ポリシーを無効にする
Azure portal でポリシーの割り当てを削除するには、次の手順を使用します。
- Azure portal の [Policy] ペインに移動します。
- [割り当て] を選択します。
- ポリシーの割り当ての横にある [...] ボタンを選択し、割り当ての [削除] を選択します。
制限事項
- ポリシーの変更 (ポリシー定義、割り当て、除外、またはポリシー セットの更新など) が評価プロセスで有効になるまでに 10 分かかります。
- 新しく作成されたデプロイおよび更新されたデプロイのコンプライアンスが報告されます。 パブリック プレビューの段階では、コンプライアンス レコードは 24 時間保持されます。 これらのポリシー定義が割り当てられる以前から存在していたモデル デプロイのコンプライアンスは報告されません。 また、ポリシーの定義と割り当てを設定する以前から存在していたデプロイの評価をトリガーすることもできません。
- 1 つのポリシー割り当てで、複数のレジストリを許可リストに載せることはできません。
次のステップ
- コンプライアンス データを取得する方法を学習します。
- プログラムによるポリシーの作成方法を学習します。