Předdefinované definice zásad služby Azure Policy pro Azure Machine Learning
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Machine Learning. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Definice zásad pro tyto běžné případy použití jsou už ve vašem prostředí Azure předdefinované, aby vám pomohly začít. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci GitHub zobrazte zdroj v úložišti Azure Policy na GitHubu.
Předdefinované definice zásad
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Nasazení registru modelů služby Azure Machine Learning jsou omezená s výjimkou povoleného registru. | Nasaďte pouze modely registru v povoleném registru a nejsou omezeny. | Odepřít, zakázáno | 1.0.0-preview |
| Výpočetní instance služby Azure Machine Learning by měla mít vypnutí nečinnosti. | Když máte plán nečinnosti vypnutí, sníží se náklady vypnutím výpočetních prostředků, které jsou nečinné po předem určeném období aktivity. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Výpočetní instance služby Azure Machine Learning by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru. | Ujistěte se, že výpočetní instance služby Azure Machine Learning běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Výpočetní prostředky služby Azure Machine Learning by měly být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci výpočetních clusterů a instancí služby Azure Machine Learning a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. | Audit, zakázáno | 1.0.1 |
| Výpočetní prostředky služby Azure Machine Learning by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočty služby Machine Learning vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.0.3 |
| Pracovní prostory služby Azure Machine Learning by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory služby Machine Learning nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Pracovní prostory služby Azure Machine Learning by měly povolit V1LegacyMode, aby podporovaly zpětnou kompatibilitu izolace sítě. | Azure ML provádí přechod na novou platformu rozhraní API V2 v Azure Resource Manageru a pomocí parametru V1LegacyMode můžete řídit verzi platformy ROZHRANÍ API. Když povolíte parametr V1LegacyMode, budete moct zachovat pracovní prostory ve stejné izolaci sítě jako V1, i když nebudete mít nové funkce V2. Starší verzi režimu V1 doporučujeme zapnout jenom v případech, kdy chcete zachovat data řídicí roviny AzureML v privátních sítích. Další informace najdete tady: https://aka.ms/V1LegacyMode. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Learning by měly používat spravovanou identitu přiřazenou uživatelem. | Manange přístup k pracovnímu prostoru Azure ML a přidruženým prostředkům, Azure Container Registry, KeyVault, Storage a App Insights pomocí spravované identity přiřazené uživatelem. Ve výchozím nastavení používá pracovní prostor Azure ML spravovanou identitu přiřazenou systémem pro přístup k přidruženým prostředkům. Spravovaná identita přiřazená uživatelem umožňuje vytvořit identitu jako prostředek Azure a udržovat životní cyklus této identity. Další informace najdete na adrese https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace výpočetních prostředků služby Azure Machine Learning pro zakázání místních metod ověřování | Zakažte metody ověřování umístění tak, aby výpočty služby Machine Learning vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Upravit, zakázáno | 2.1.0 |
| Konfigurace pracovního prostoru Azure Machine Learning pro použití privátních zón DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS odkazuje na vaši virtuální síť pro překlad do pracovních prostorů Azure Machine Learning. Další informace najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace pracovních prostorů Služby Azure Machine Learning pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro pracovní prostory služby Azure Machine Learning, aby vaše pracovní prostory nejsou přístupné přes veřejný internet. To pomáhá chránit pracovní prostory před riziky úniku dat. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Upravit, zakázáno | 1.0.3 |
| Konfigurace pracovních prostorů Azure Machine Learning s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovního prostoru Služby Azure Machine Learning můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro pracovní prostory Azure Machine Learning do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro pracovní prostory Služby Azure Machine Learning pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakýkoli pracovní prostor služby Azure Machine Learning, ve kterém chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.1 |
| Protokoly prostředků v pracovních prostorech služby Azure Machine Learning by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro