Wbudowane definicje zasad usługi Azure Policy dla usługi Azure Machine Learning
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Machine Learning. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Definicje zasad dla tych typowych przypadków użycia są już dostępne w środowisku platformy Azure w celu ułatwienia rozpoczęcia pracy. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie GitHub , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Wbudowane definicje zasad
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Wdrożenia usługi Azure Machine Learning powinny używać tylko zatwierdzonych modeli rejestru | Ograniczanie wdrażania modeli rejestru w celu kontrolowania modeli utworzonych zewnętrznie używanych w organizacji | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Wdrożenia rejestru modeli usługi Azure Machine Learning są ograniczone z wyjątkiem dozwolonego rejestru | Wdróż tylko modele rejestru w dozwolonym rejestrze i które nie są ograniczone. | Odmów, Wyłączone | 1.0.0-preview |
Wystąpienie obliczeniowe usługi Azure Machine Learning powinno mieć zamknięcie bezczynności. | Posiadanie harmonogramu zamknięcia bezczynności zmniejsza koszt, zamykając obliczenia bezczynne po wstępnie określonym okresie działania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Aby uzyskać najnowsze aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe usługi Azure Machine Learning | Upewnij się, że wystąpienia obliczeniowe usługi Azure Machine Learning działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane i ograniczane przez uruchomienie najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, zobacz https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Obliczenia usługi Azure Machine Learning powinny znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację klastrów obliczeniowych i wystąpień usługi Azure Machine Learning, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Inspekcja, wyłączone | 1.0.1 |
Obliczenia usługi Azure Machine Learning powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że obliczenia usługi Machine Learning wymagają tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Obszary robocze usługi Azure Machine Learning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze usługi Machine Learning nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
Obszary robocze usługi Azure Machine Learning powinny włączyć tryb V1LegacyMode, aby obsługiwać zgodność z poprzednimi wersjami izolacji sieci | Usługa Azure ML wykonuje przejście na nową platformę interfejsu API w wersji 2 w usłudze Azure Resource Manager i można kontrolować wersję platformy interfejsu API przy użyciu parametru V1LegacyMode. Włączenie parametru V1LegacyMode umożliwi zachowanie obszarów roboczych w tej samej izolacji sieciowej co wersja 1, chociaż nie będziesz korzystać z nowych funkcji w wersji 2. Zalecamy włączenie trybu starszego w wersji 1 tylko wtedy, gdy chcesz przechowywać dane płaszczyzny sterowania AzureML wewnątrz sieci prywatnych. Dowiedz się więcej na stronie: https://aka.ms/V1LegacyMode. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
Obszary robocze usługi Azure Machine Learning powinny używać tożsamości zarządzanej przypisanej przez użytkownika | Dostęp manange do obszaru roboczego usługi Azure ML i skojarzonych zasobów, usługi Azure Container Registry, KeyVault, Storage i App Insights przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Domyślnie tożsamość zarządzana przypisana przez system jest używana przez obszar roboczy usługi Azure ML do uzyskiwania dostępu do skojarzonych zasobów. Tożsamość zarządzana przypisana przez użytkownika umożliwia utworzenie tożsamości jako zasobu platformy Azure i utrzymanie cyklu życia tej tożsamości. Dowiedz się więcej na https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konfigurowanie usługi Azure Machine Learning Computes w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz metody uwierzytelniania lokalizacji, aby obliczenia usługi Machine Learning wymagały tożsamości usługi Azure Active Directory wyłącznie do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Modyfikowanie, wyłączone | 2.1.0 |
Konfigurowanie obszaru roboczego usługi Azure Machine Learning do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Machine Learning. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurowanie obszarów roboczych usługi Azure Machine Learning w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszarów roboczych usługi Azure Machine Learning, aby obszary robocze były niedostępne za pośrednictwem publicznego Internetu. Pomaga to chronić obszary robocze przed ryzykiem wycieku danych. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modyfikowanie, wyłączone | 1.0.3 |
Konfigurowanie obszarów roboczych usługi Azure Machine Learning przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Machine Learning, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie ustawień diagnostycznych dla obszarów roboczych usługi Azure Machine Learning w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne obszarów roboczych usługi Azure Machine Learning w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy dowolny obszar roboczy usługi Azure Machine Learning, w którym brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.1 |
Dzienniki zasobów w obszarach roboczych usługi Azure Machine Learning powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists, Disabled | 1.0.1 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.