Регулирование развертываний в каталоге моделей с помощью политик

Каталог моделей в Студии машинного обучения Azure предоставляет доступ ко многим базовым моделям с открытым исходным кодом. Регулирование развертываний таких моделей посредством применения стандартов организации может иметь важнейшее значение для удовлетворения требований к безопасности и комплаенсу. Из этой статьи вы узнаете, как ограничить развертывания из каталога моделей с помощью встроенной Политики Azure.

Политика Azure — это средство управления, которое дает пользователям возможность выполнять аудит, применять политики в реальном времени и управлять средой Azure в нужном масштабе. Дополнительные сведения см. в статье Обзор службы "Политика Azure"

Примеры сценариев использования:

• Вам требуется применять политики безопасности организации, но нет автоматизированного надежного способа для этого.
• Вы хотите смягчить некоторые требования к командам, проводящим тестирования, но при этом хотите сохранить жесткий контроль над своей производственной средой. Вам необходим простой автоматизированный способ разделения ограничений на ресурсы.

Политика Azure для развертываний модели реестра Машинное обучение Azure

С помощью встроенной политики "Машинное обучение Azure" для развертываний модели реестра(предварительная версия) можно запретить все развертывания реестра или разрешить развертывания модели из определенного реестра. Кроме того, можно добавить необязательный список блокировок моделей, а также добавить исключения в список в разрешенном реестре.

Эта встроенная политика поддерживает Deny только эффект.

Deny:С учетом того, что набор политик запрещает, политика блокирует создание новых развертываний из реестров Машинное обучение Azure, которые не соответствуют определению политики и создают событие в журнале действий. Существующие несоответствующие развертывания не затрагиваются.

Коллекции каталога моделей становятся доступными для пользователей с помощью базовых реестров. Имя базового реестра можно найти в идентификаторе ресурса модели.

Создание назначения политики

1. На домашней странице Azure введите политику в строке поиска и щелкните значок политики Azure.

2. В разделе Разработка для службы "Политика Azure" выберите вкладку Назначения.

3. На странице "Назначения" щелкните значок "Назначить политику " в верхней части страницы.

4. На вкладке "Основные сведения" страницы "Назначение политики" измените данные в следующих полях:

   1. Область. Выберите, к каким подпискам и группам ресурсов применяются политики Azure.
   2. Исключения: выберите все ресурсы в этой области, которые нужно исключить из назначения политики.
   3. Определение политики: выберите определение политики, которое будет применяться к данной области (с заданными исключениями). Введите "Машинное обучение Azure" в строке поиска и найдите политику "[Предварительная версия] Машинное обучение Azure развертывания реестра моделей ограничены, за исключением разрешенного реестра. Выберите политику и нажмите кнопку "Добавить".

5. Перейдите на вкладку "Параметры" и обновите параметры назначения эффектов и политик. Обязательно снимите флажок "Показать только параметры, необходимые для ввода или проверки", чтобы все параметры отображались. Чтобы дополнительно уточнить, что делает параметр, наведите указатель мыши на значок сведений рядом с именем параметра.

   

   Если идентификаторы активов модели не заданы в параметре Restricted Model AssetIds во время назначения политики, эта политика позволяет развертывать только все модели из реестра моделей, указанных в параметре "Разрешенное имя реестра".

6. Нажмите кнопку "Рецензирование и создание ", чтобы завершить назначение политики. Назначение политики занимает около 15 минут, пока он не активен для новых ресурсов.

Отключение политики

Вы можете удалить назначение политики в портал Azure, выполнив следующие действия.

1. Перейдите в область "Политика" на портале Azure.
2. Выберите назначения.
3. Выберите в поле ... нажмите кнопку рядом с назначением политики и нажмите кнопку "Удалить назначение".

Ограничения

• Любое изменение политики (включая обновление определения политики, назначений, исключений или набора политик) и вступление такого изменения в силу в процессе оценки занимает 10 минут.
• Сообщается о соответствии для вновь созданных и обновленных развертываний. В общедоступной предварительной версии записи соответствия сохраняются в течение 24 часов. Развертывания моделей, которые существуют до назначения этих определений политик, не будут сообщать о соответствии. Вы также не можете активировать оценки развертываний, которые существовали перед настройкой определения и назначения политики.
• Невозможно разрешить список нескольких реестров в назначении политики.

Next Steps

• Узнайте, как получать данные о соответствии.
• Узнайте, как создавать политики программным способом.