Regulowanie wdrożeń w wykazie modeli przy użyciu zasad
Katalog modeli w usłudze Azure Machine Learning Studio zapewnia dostęp do wielu modeli podstawowych typu open source, a regulacja wdrożeń tych modeli przez wymuszanie standardów organizacji może mieć kluczowe znaczenie dla spełnienia wymagań dotyczących zabezpieczeń i zgodności. Z tego artykułu dowiesz się, jak ograniczyć wdrożenia z wykazu modeli przy użyciu wbudowanej usługi Azure Policy.
Usługa Azure Policy to narzędzie do zapewniania ładu, które umożliwia użytkownikom przeprowadzanie inspekcji środowiska platformy Azure i zarządzanie nim na dużą skalę. Aby uzyskać więcej informacji, zobacz Omówienie planów usługi Azure.
Kilka przykładowych scenariuszy użycia:
- Chcesz wymusić zasady zabezpieczeń organizacji, ale nie masz zautomatyzowanego i niezawodnego sposobu, aby to zrobić.
- Chcesz złagodzić pewne wymagania dla zespołów testowych, ale chcesz zachować ścisłą kontrolę nad środowiskiem produkcyjnym. Potrzebujesz prostego zautomatyzowanego sposobu oddzielenia wymuszania zasobów.
Wdrożenia modeli usługi Azure Machine Learning Registry w usłudze Azure Policy
Dzięki wbudowanym zasadom usługi Azure Machine Learning dla wdrożeń modeli rejestru (wersja zapoznawcza) można odmówić wszystkich wdrożeń rejestru lub zezwolić na wdrożenia modelu z określonego rejestru. Możesz również dodać opcjonalną listę zablokowanych modeli i dodać wyjątki do listy w dozwolonym rejestrze.
Te wbudowane zasady obsługują Deny
tylko efekt.
Deny:
W przypadku efektu odmowy zestawu zasad zasady blokują tworzenie nowych wdrożeń z rejestrów usługi Azure Machine Learning, które nie są zgodne z definicją zasad i generują zdarzenie w dzienniku aktywności. Nie ma to wpływu na istniejące niezgodne wdrożenia.
Kolekcje wykazu modeli są udostępniane użytkownikom przy użyciu bazowych rejestrów. Nazwę rejestru bazowego można znaleźć w identyfikatorze zasobu modelu.
Tworzenie przypisania zasad
Na stronie głównej platformy Azure wpisz Zasady na pasku wyszukiwania i wybierz ikonę Azure Policy .
W usłudze Azure Policy w obszarze Tworzenie wybierz pozycję Przypisania.
Na stronie Przypisania wybierz ikonę Przypisz zasady u góry.
Na karcie Podstawy przypisywania zasad zaktualizuj następujące pola:
- Zakres: wybierz, do których subskrypcji platformy Azure i grup zasobów mają zastosowanie zasady.
- Wykluczenia: wybierz wszystkie zasoby z zakresu, które mają zostać wykluczone z przypisania zasad.
- Definicja zasad: wybierz definicję zasad, która ma być stosowana do zakresu z wykluczeniami. Wpisz "Azure Machine Learning" na pasku wyszukiwania i znajdź zasady "[Wersja zapoznawcza] Wdrożenia rejestru modeli usługi Azure Machine Learning są ograniczone z wyjątkiem dozwolonego rejestru". Wybierz zasady i wybierz pozycję Dodaj.
Wybierz kartę Parametry i zaktualizuj parametry przypisania efektu i zasad. Upewnij się, że usuń zaznaczenie pola wyboru "Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu", aby wyświetlić wszystkie parametry. Aby dokładniej wyjaśnić, co robi parametr, umieść kursor na ikonie informacji obok nazwy parametru.
Jeśli podczas przypisywania zasad nie ustawiono żadnych identyfikatorów zasobów modelu z ograniczeniami , te zasady zezwalają tylko na wdrażanie wszystkich modeli z rejestru modelu określonego w parametrze Allowed Registry Name (Dozwolone nazwy rejestru).
Wybierz pozycję Przejrzyj i utwórz , aby sfinalizować przypisanie zasad. Przypisanie zasad trwa około 15 minut, aż będzie aktywne dla nowych zasobów.
Wyłączanie zasad
Przypisanie zasad można usunąć w witrynie Azure Portal, wykonując następujące czynności:
- Przejdź do okienka Zasady w witrynie Azure Portal.
- Wybierz pozycję Przypisania.
- Wybierz pozycję ... obok przypisania zasad wybierz pozycję Usuń przypisanie.
Ograniczenia
- Każda zmiana zasad (w tym aktualizacja definicji zasad, przypisań, wykluczeń lub zestawu zasad) trwa 10 minut, aby zmiany te zostały wprowadzone w procesie oceny.
- Zgodność jest zgłaszana dla nowo utworzonych i zaktualizowanych wdrożeń. W publicznej wersji zapoznawczej rekordy zgodności pozostają przez 24 godziny. Wdrożenia modelu, które istnieją przed przypisaną definicją zasad, nie będą zgłaszać zgodności. Nie można również wyzwolić ocen wdrożeń, które istniały przed skonfigurowaniem definicji zasad i przypisania.
- Nie można dodać listy dozwolonych więcej niż jednego rejestru w przypisaniu zasad.
Następne kroki
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak programowo tworzyć zasady.