Azure Machine Learning 用の Azure Policy 組み込みポリシー定義
このページは、Azure Machine Learning 用の Azure Policy 組み込みポリシー定義のインデックスです。 Azure Policy の一般的なユースケースには、リソースの整合性、規制コンプライアンス、セキュリティ、コスト、管理のガバナンスの実装が含まれています。 これらの一般的なユース ケース用のポリシー定義は、使用を開始できるようにビルトインとして Azure 環境に既に用意されています。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [GitHub] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
組み込みのポリシー定義
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Machine Learning のデプロイでは、承認済みのレジストリ モデルのみを使用する必要がある | レジストリ モデルのデプロイを制限して、組織内で使用される外部で作成されたモデルを制御します | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Machine Learning モデル レジストリのデプロイは、許可されたレジストリを除いて制限される | 許可されたレジストリに、制限されていないレジストリ モデルのみをデプロイします。 | Deny、Disabled | 1.0.0-preview |
| Azure Machine Learning コンピューティング インスタンスでアイドル シャットダウンを行う必要がある。 | アイドル シャットダウンをスケジュール設定すると、事前に決定されたアクティビティ期間の後にアイドル状態になっているコンピューティングがシャットダウンされ、コストが削減されます。 | Audit、Deny、Disabled | 1.0.0 |
| 最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある | Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | Audit、Disabled | 1.0.1 |
| Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| ネットワークの分離の下位互換性をサポートするには、Azure Machine Learning ワークスペースで V1LegacyMode を有効にする必要がある | Azure ML では、Azure Resource Manager 上の新しい V2 API プラットフォームへの移行が行われ、V1LegacyMode パラメーターを使用して API プラットフォームのバージョンを制御できます。 V1LegacyMode パラメーターを有効にすると、ワークスペースを V1 と同じネットワーク分離状態に保つことができますが、新しい V2 の機能は使用できません。 AzureML コントロール プレーン データをプライベート ネットワーク内に保持したい場合にのみ V1 レガシ モードを有効にすることをお勧めします。 詳細については、https://aka.ms/V1LegacyMode を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではユーザー割り当てマネージド ID を使用する必要がある | ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連付けられているリソース、Azure Container Registry、KeyVault、Storage、および App Insights へのアクセスを管理します。 既定では、関連付けられているリソースにアクセスするために、システムによって割り当てられたマネージド ID が Azure ML ワークスペースで使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning コンピューティングを構成してローカル認証方法を無効にする | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になるようにします。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Modify、Disabled | 2.1.0 |
| プライベート DNS ゾーンを使用するように Azure Machine Learning ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Machine Learning ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Machine Learning ワークスペースを構成する | パブリック インターネット経由でワークスペースにアクセスできないように、Azure Machine Learning ワークスペースの公衆ネットワーク アクセスを無効にします。 これは、データ漏洩のリスクからワークスペースを保護するために役立ちます。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Modify、Disabled | 1.0.3 |
| プライベート エンドポイントを使用して Azure Machine Learning ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Log Analytics ワークスペースに Azure Machine Learning ワークスペースの診断設定を構成する | Azure Machine Learning ワークスペースのリソース ログをストリーミングする診断設定がない Azure Machine Learning ワークスペースが作成または更新されたときには、その診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Machine Learning ワークスペースのリソース ログを有効にする必要がある | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。