Azure Machine Learning에 대한 Azure Policy 기본 제공 정책 정의
이 페이지는 Azure Machine Learning에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다. 이러한 일반적인 사용 사례에 대한 정책 정의는 Azure 환경에서 이미 기본 제공 기능으로 사용할 수 있으므로 시작하는 데 도움이 됩니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. GitHub 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
기본 제공 정책 정의
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Machine Learning 배포는 승인된 레지스트리 모델만 사용해야 합니다. | 조직 내에서 사용되는 외부에서 만든 모델을 제어하도록 레지스트리 모델 배포 제한 | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Machine Learning 모델 레지스트리 배포는 허용된 레지스트리를 제외하고 제한됩니다. | 허용되고 제한되지 않은 레지스트리에만 레지스트리 모델을 배포합니다. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Machine Learning 컴퓨팅 인스턴스에 유휴 종료가 있어야 함 | 유휴 상태 종료 일정을 사용하면 사전 결정된 활동 기간 후에 유휴 상태인 컴퓨팅을 종료하여 비용이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 최신 소프트웨어 업데이트를 가져오려면 Azure Machine Learning 컴퓨팅 인스턴스를 다시 만들어야 합니다. | Azure Machine Learning 컴퓨팅 인스턴스가 사용 가능한 최신 운영 체제에서 실행되는지 확인합니다. 최신 보안 패치를 실행하여 보안이 개선되고 취약성이 줄어듭니다. 자세한 내용은 https://aka.ms/azureml-ci-updates/을 참조하세요. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning 컴퓨팅은 가상 네트워크에 있어야 합니다. | Azure Virtual Network는 Azure Machine Learning 컴퓨팅 클러스터 및 인스턴스에 대한 강화된 보안 및 격리는 물론 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능을 제공합니다. 컴퓨팅이 가상 네트워크로 구성된 경우 공개적으로 주소를 지정할 수 없으며 가상 네트워크 내의 가상 머신 및 애플리케이션에서만 액세스할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Machine Learning 컴퓨팅에는 로컬 인증 방법이 사용하지 않도록 설정되어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하면 Machine Learning 컴퓨팅에서 인증에만 Azure Active Directory ID를 요구하도록 하여 보안이 향상됩니다. https://aka.ms/azure-ml-aad-policy에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Azure Machine Learning 작업 영역은 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Machine Learning 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Machine Learning 작업 영역이 공용 인터넷에 노출되지 않으므로 보안이 강화됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 내용은 https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.1 |
| Azure Machine Learning 작업 영역은 V1LegacyMode를 활성화하여 네트워크 격리 이전 버전과의 호환성을 지원해야 함 | Azure ML은 Azure Resource Manager에서 새 V2 API 플랫폼으로 전환하고 있으며 V1LegacyMode 매개 변수를 사용하여 API 플랫폼 버전을 제어할 수 있습니다. V1LegacyMode 매개 변수를 사용하도록 설정하면 새 V2 기능을 사용하지 않더라도 작업 영역을 V1과 동일한 네트워크 격리 상태로 유지할 수 있습니다. 프라이빗 네트워크 내에서 AzureML 컨트롤 플레인 데이터를 유지하려는 경우에만 V1 레거시 모드를 설정하는 것이 좋습니다. https://aka.ms/V1LegacyMode에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역은 사용자가 할당한 관리 ID를 사용해야 함 | 사용자 할당 관리 ID를 사용하여 Azure ML 작업 영역 및 관련 리소스, Azure Container Registry, KeyVault, Storage 및 App Insights에 대한 액세스를 관리합니다. 기본적으로 시스템 할당 관리 ID는 Azure ML 작업 영역에서 연결된 리소스에 액세스하는 데 사용됩니다. 사용자 할당 관리 ID를 사용하면 ID를 Azure 리소스로 만들고 해당 ID의 수명 주기를 유지할 수 있습니다. https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 컴퓨팅을 구성하여 로컬 인증 방법을 사용하지 않도록 설정합니다. | 위치 인증 방법을 사용하지 않도록 설정하여 Machine Learning 컴퓨팅에서 인증에만 Azure Active Directory ID를 요구하도록 합니다. https://aka.ms/azure-ml-aad-policy에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.1.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Machine Learning 작업 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Machine Learning 작업 영역으로 확인됩니다. https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Machine Learning 작업 영역 구성 | 공용 인터넷을 통해 작업 영역에 액세스할 수 없도록 Azure Machine Learning 작업 영역에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이는 데이터 누출 위험으로부터 작업 영역을 보호하는 데 도움이 됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 내용은 https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal을 참조하세요. | 수정, 사용 안 함 | 1.0.3 |
| 프라이빗 엔드포인트를 사용하여 Azure Machine Learning 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역에 대한 진단 설정을 Log Analytics 작업 영역으로 구성합니다. | 이 진단 설정이 누락된 Azure Machine Learning 작업 영역이 만들어지거나 업데이트될 때 Log Analytics 작업 영역으로 리소스 로그를 스트리밍하기 위해 Azure Machine Learning 작업 영역에 대한 진단 설정을 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure Machine Learning 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사 목적으로 사용할 작업 추적을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.