在 Azure 機器學習 中使用內建原則控制 AI 模型部署

Azure 原則 提供內建原則定義，可協助您控管受控 AI 服務 （MaaS） 和模型即平臺 （MaaP） 中的 AI 模型部署。 您可以使用這些原則來控制開發人員可以部署的模型。

必要條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。
• 建立和指派原則的許可權。 若要建立和指派原則，您必須是 Azure 訂用帳戶或資源群組層級的擁有者 或 資源原則參與者 。
• 熟悉 Azure 原則。 若要深入瞭解，請參閱什麼是 Azure 原則？。

啟用原則

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。

2. 從 [Azure 原則 儀錶板] 左側，選取 [撰寫]、[指派]，然後從頁面頂端選取 [指派原則]。

3. 在 [原則 指派 ] 窗體中，使用下列值：

   • 範圍：選取您要指派原則的範圍。 範圍可以是管理群組、訂用帳戶或資源群組。
   • 原則定義：選取省略號 （...） 並搜尋 允許的 AI 模型部署模型。 從清單中選取原則定義。 例如， 允許在 MaaS 和 MaaP 中部署 AI 模型模型。
   • 指派名稱：輸入指派的唯一名稱。

   其餘欄位可以保留為預設值，也可以視需要為組織自定義。

4. 選取 頁面底部的 [下一步 ] 或 頁面頂端的 [參數] 索引標籤。

5. 在 [ 參數] 索引標籤中，使用下列欄位：

   • 允許的模型：此欄位需要 模型標識符字串，並以逗號分隔。 若要取得模型識別符字串，請使用下列步驟：

     1. 移至工作區的 Azure 機器學習 模型目錄。

        注意

        您必須有 Azure 機器學習 工作區才能存取模型目錄。

     2. 針對您想要允許的每個模型，選取模型以檢視詳細數據。 在模型詳細資訊中，複製 [模型標識符 ] 值。 例如，值看起來可能像 azureml://registries/azure-openai/models/gpt-35-turbo/versions/3。

        重要

        模型標識碼值必須是模型完全相符的值。 如果模型標識碼不完全相符，則不允許模型。

   • 效果：此欄位會 決定原則稽核 或 拒絕 使用 [允許的模型] 字段中所列 的模型 。

6. 或者，選取 頁面頂端的 [不符合規範的郵件 ] 索引卷標，並設定不符合規範的自定義訊息。

7. 選取 [ 檢閱 + 建立] 索引標籤，並確認原則指派正確無誤。 準備好時，選取 [ 建立] 以指派原則。

8. 通知開發人員原則已就緒。 如果嘗試部署不在允許模型清單中的模型，他們會收到錯誤訊息。

監視合規性

若要監視原則的合規性，請遵循下列步驟：

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。
2. 從 [Azure 原則 儀錶板] 左側，選取 [合規性]。 每個原則指派都會以合規性狀態列出。 若要檢視更多詳細數據，請選取原則指派。

更新原則指派

若要使用新模型更新現有的原則指派，請遵循下列步驟：

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。
2. 從 [Azure 原則 儀錶板] 左側，選取 [指派]，然後尋找現有的原則指派。 選取指派旁邊的省略號 （...），然後選取 [ 編輯指派]。
3. 從 [ 參數] 索引標籤，使用新的模型識別碼更新 [允許的模型 ] 參數。
4. 從 [ 檢閱 + 儲存 ] 索引標籤中，選取 [ 儲存 ] 以更新原則指派。

最佳作法

• 細微範圍界定：在適當的範圍指派原則，以平衡控制和彈性。 例如，在訂用帳戶層級套用以控制訂用帳戶中的所有資源，或在資源群組層級套用以控制特定群組中的資源。
• 原則命名：針對原則指派使用一致的命名慣例，可讓您更輕鬆地識別原則的用途。 在名稱中包含目的和範圍等資訊。
• 檔：保留原則指派和設定的記錄以供稽核之用。 記錄一段時間對原則所做的任何變更。
• 定期檢閱：定期檢閱原則指派，以確保它們符合貴組織的需求。
• 測試：在將原則套用至生產資源之前，先在非生產環境中測試原則。
• 通訊：請確定開發人員已準備好原則，並瞭解其工作的影響。

相關內容

• Azure 原則概觀
• Azure 機器學習 模型目錄