你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure AI Studio 中的内置策略控制 AI 模型部署
Azure Policy 提供内置策略定义,可帮助你控制托管 AI 服务 (MaaS) 和模型即平台 (MaaP) 中 AI 模型的部署。 你可以使用这些策略来控制开发人员可在 Azure AI Studio 中部署哪些模型。
先决条件
- Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
- 创建和分配策略的权限。 若要创建和分配策略,你必须是 Azure 订阅或资源组级别的所有者或资源策略参与者。
- 熟悉 Azure Policy。 有关详细信息,请参阅什么是 Azure Policy?。
启用策略
在 Azure 门户中,从页面左侧选择“策略”。 也可以在页面顶部的搜索栏中搜索“策略”。
在 Azure 策略仪表板的左侧,选择“创作”、“定义”,然后在页面上的搜索栏中搜索“[预览]:Azure 机器学习部署应该仅使用已批准的注册表模型”。 还可以直接导航到策略定义创建页面。
选择“分配”以将策略分配到管理组:
- 范围:选择策略的分配范围。 范围可以是管理组、订阅或资源组。
- 策略定义:此部分应已包含值“[预览]:Azure 机器学习部署应该仅使用已批准的注册表模型”。
- 分配名称:为分配输入唯一的名称。
其余字段可以保留默认值,你也可以根据组织的需要进行自定义。
选择页面底部的“下一步”,或选择页面顶部的“参数”选项卡。
在“参数”选项卡中,取消选择“仅显示需要输入或审查的参数”以查看所有字段:
效果:设置为“拒绝”。
注意
使用审核选项可以配置策略,以将信息记录到你自己的合规性仪表板。
允许的模型发布者:在此字段中,应该输入带引号的发布者名称的逗号分隔列表。
允许的资产 ID:在此字段中,应该输入带引号的模型资产 ID 的逗号分隔列表。
若要获取模型资产 ID 字符串和模型发布者的名称,请执行以下步骤:
对于你要允许的每个模型,选择该模型以查看详细信息。 在模型详细信息中,复制“模型 ID”值。 例如,对于 GPT-3.5-Turbo 模型,该值可能类似于
azureml://registries/azure-openai/models/gpt-35-turbo/versions/3。 提供的名称也是模型目录中的“集合”。 例如“Meta-Llama-3.1-70B-Instruct”模型的发布者是 Meta。重要
模型 ID 值必须与模型完全匹配。 如果模型 ID 不完全匹配,则不允许该模型。
选择“查看 + 创建”选项卡并验证策略分配是否正确。 准备就绪后,选择“创建”以分配策略。
通知开发人员已实施该策略。 如果他们尝试部署不在允许模型列表中的模型,他们会收到错误消息。
监视符合性
若要监视对策略的遵从性,请执行以下步骤:
- 在 Azure 门户中,从页面左侧选择“策略”。 也可以在页面顶部的搜索栏中搜索“策略”。
- 在 Azure Policy 仪表板左侧,选择“合规性”。 每项策略分配均与合规性状态一起列出。 若要查看更多详细信息,请选择该策略分配。
更新策略分配
若要更新新模型的现有策略分配,请执行以下步骤:
- 在 Azure 门户中,从页面左侧选择“策略”。 也可以在页面顶部的搜索栏中搜索“策略”。
- 在 Azure Policy 仪表板左侧,选择“分配”并找到现有的策略分配。 选择该分配旁边的省略号 (...),然后选择“编辑分配”。
- 在“参数”选项卡中,更新新模型 ID 的“允许的模型”参数。
- 在“查看 + 保存”选项卡中,选择“保存”以更新策略分配。
最佳做法
- 粒度范围:在适当的范围分配策略,以平衡控制度和灵活性。 例如,在订阅级别应用策略可以控制订阅中的所有资源,在资源组级别应用策略可以控制特定组中的资源。
- 策略命名:对策略分配使用一致的命名约定,以便更轻松地识别策略的用途。 在名称中包含用途和范围等信息。
- 文档记录:保留策略分配和配置的记录以用于审核目的。 记录一段时间内对策略所做的任何更改。
- 定期评审:定期评审策略分配,确保其符合组织的要求。
- 测试:在将策略应用于生产资源之前,先在非生产环境中对其进行测试。
- 沟通:确保开发人员知道现行的策略,并了解其对开发人员工作的影响。