Inbyggda principdefinitioner för Azure Policy för Azure Machine Learning
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Machine Learning. Några vanliga användningsområden för Azure Policy är att implementera styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering. Principdefinitioner för dessa vanliga användningsområden finns redan inbyggda i din Azure-miljö för att hjälpa dig att komma igång. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i GitHub-kolumnen för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Inbyggda policydefinitioner
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Azure Machine Learning-distributioner bör endast använda godkända registermodeller | Begränsa distributionen av registermodeller för att styra externt skapade modeller som används i din organisation | Granska, neka, inaktiverad | 1.0.0-preview |
[Förhandsversion]: Distributioner av Azure Machine Learning Model Registry är begränsade förutom det tillåtna registret | Distribuera endast registermodeller i det tillåtna registret och som inte är begränsade. | Neka, inaktiverad | 1.0.0-preview |
Azure Machine Learning Compute Instance bör ha inaktiv avstängning. | Ett schema för inaktiv avstängning minskar kostnaderna genom att stänga av beräkningar som är inaktiva efter en fördefinierad aktivitetsperiod. | Granska, neka, inaktiverad | 1.0.0 |
Azure Machine Learning-beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna | Se till att Azure Machine Learning-beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns på https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Computes ska finnas i ett virtuellt nätverk | Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. | Granskning, inaktiverad | 1.0.1 |
Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att maskininlärningsberäkning kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Granska, neka, inaktiverad | 2.1.0 |
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.1.0 |
Azure Machine Learning-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att maskininlärningsarbetsytorna inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Granska, neka, inaktiverad | 2.0.1 |
Azure Machine Learning-arbetsytor bör aktivera V1LegacyMode för att stödja bakåtkompatibilitet för nätverksisolering | Azure ML gör en övergång till en ny V2 API-plattform i Azure Resource Manager och du kan styra API-plattformsversionen med hjälp av parametern V1LegacyMode. Om du aktiverar parametern V1LegacyMode kan du behålla dina arbetsytor i samma nätverksisolering som V1, även om du inte kommer att använda de nya V2-funktionerna. Vi rekommenderar att du aktiverar V1 Äldre läge endast när du vill behålla AzureML-kontrollplansdata i dina privata nätverk. Läs mer på: https://aka.ms/V1LegacyMode. | Granska, neka, inaktiverad | 1.0.0 |
Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
Azure Machine Learning-arbetsytor bör använda användartilldelad hanterad identitet | Manange-åtkomst till Azure ML-arbetsyta och associerade resurser, Azure Container Registry, KeyVault, Storage och App Insights med hjälp av användartilldelad hanterad identitet. Som standard används systemtilldelad hanterad identitet av Azure ML-arbetsytan för att få åtkomst till de associerade resurserna. Med användartilldelad hanterad identitet kan du skapa identiteten som en Azure-resurs och underhålla identitetens livscykel. Läs mer på https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Granska, neka, inaktiverad | 1.0.0 |
Konfigurera Azure Machine Learning Computes för att inaktivera lokala autentiseringsmetoder | Inaktivera metoder för platsautentisering så att dina Machine Learning Computes kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Ändra, inaktiverad | 2.1.0 |
Konfigurera Azure Machine Learning-arbetsytan så att den använder privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Machine Learning-arbetsytor. Läs mer på: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, inaktiverad | 1.1.0 |
Konfigurera Azure Machine Learning-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Machine Learning-arbetsytor så att dina arbetsytor inte är tillgängliga via det offentliga Internet. Detta hjälper till att skydda arbetsytorna mot dataläckagerisker. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Ändra, inaktiverad | 1.0.3 |
Konfigurera Azure Machine Learning-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din Azure Machine Learning-arbetsyta kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, inaktiverad | 1.0.0 |
Konfigurera diagnostikinställningar för Azure Machine Learning-arbetsytor till Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure Machine Learning-arbetsytor för att strömma resursloggar till en Log Analytics-arbetsyta när en Azure Machine Learning-arbetsyta som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.1 |
Resursloggar i Azure Machine Learning-arbetsytor ska vara aktiverade | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, inaktiverad | 1.0.1 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.