Azure 原則 適用於 Azure 機器學習 的內建原則定義
此頁面是 Azure 機器學習 Azure 原則 內建原則定義的索引。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 這些常見使用案例的原則定義已內建在您的 Azure 環境中,可協助您開始進行作業。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 GitHub 資料行中的連結來檢視 Azure 原則 GitHub 存放庫上的來源。
內建原則定義
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 機器學習 部署應該只使用已核准的登錄模型 | 限制登錄模型的部署,以控制組織內使用的外部建立模型 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure Machine Learning 模型登錄部署受限,但允許的登錄除外 | 只在允許的登錄中部署登錄模型,且不受限制。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
Azure Machine Learning Compute 執行個體應有閒置關機。 | 閒置關機排程可在預先決定活動期間後的閒置階段關閉計算,來降低成本。 | Audit, Deny, Disabled | 1.0.0 |
應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | Audit, Disabled | 1.0.1 |
Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning 計算要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | Audit, Deny, Disabled | 2.1.0 |
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.1.0 |
Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
Azure Machine Learning 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 | Azure ML 正在 Azure Resource Manager 上轉換至新的 V2 API 平台,您可以使用 V1LegacyMode 參數來控制 API 平台版本。 啟用 V1LegacyMode 參數可讓您將工作區保持在與 V1 相同的網路隔離中,但您將無法使用新的 V2 功能。 建議您在需要將 AzureML 控制平面資料保留在私人網路內時,才開啟 V1 傳統模式。 深入了解:https://aka.ms/V1LegacyMode。 | Audit, Deny, Disabled | 1.0.0 |
Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
Azure Machine Learning 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別,管理 Azure ML 工作區的存取權,以及相關聯的資源、Azure Container Registry、KeyVault、儲存體和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關資源。 使用者指派的受控識別可讓您建立身分識別做為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure Machine Learning 計算以停用本機驗證方法 | 停用位置驗證方法,讓您的 Machine Learning 計算要求 Azure Active Directory 識別以獨佔方式來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 修改、停用 | 2.1.0 |
設定 Azure Machine Learning 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure Machine Learning 工作區進行解析。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure Machine Learning 工作區以停用公用網路存取 | 停用 Azure Machine Learning 工作區的公用網路存取,讓您的工作區無法透過公用網際網路存取。 這有助於保護工作區免於遭受資料洩漏的風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改、停用 | 1.0.3 |
使用私人端點設定 Azure Machine Learning 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Machine Learning 工作區,您可以降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Azure Machine Learning 工作區的診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 Azure Machine Learning 工作區時,請將 Azure Machine Learning 工作區的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 | DeployIfNotExists, Disabled | 1.0.1 |
應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。