Freigeben über


Azure Machine Learning prüfen und verwalten

Wenn Teams an Azure Machine Learning zusammenarbeiten, können verschiedene Anforderungen an die Konfiguration und Organisation von Ressourcen auftreten. Teams für maschinelles Lernen benötigen möglicherweise Flexibilität bei der Organisation von Arbeitsbereichen für die Zusammenarbeit oder bei der Dimensionierung von Computeclustern, die den Anforderungen ihrer Anwendungsfälle entsprechen. In diesen Szenarien kann es zu Vorteilen für die Produktivität führen, wenn das Anwendungsteam seine eigene Infrastruktur verwalten kann.

Als Plattformadministrator können Sie mithilfe von Richtlinien Leitplanken für die Verwaltung der eigenen Ressourcen durch die Teams festlegen. Azure Policy hilft bei der Prüfung und Verwaltung des Ressourcenstatus. In diesem Artikel erfahren Sie, wie Sie Audit-Kontrollen und Governanceverfahren für Azure Machine Learning verwenden.

Richtlinien für Azure Machine Learning

Azure Policy ist ein Governancetool, mit dem Sie sicherstellen können, dass Azure-Ressourcen mit Ihren Richtlinien konform sind.

Azure Policy stellt eine Reihe von Richtlinien bereit, die Sie für gängige Szenarien mit Azure Machine Learning verwenden können. Sie können diese Richtliniendefinitionen Ihrem vorhandenen Abonnement zuweisen oder sie als Grundlage verwenden, um eigene benutzerdefinierte Definitionen zu erstellen.

In der folgenden Tabelle sind die integrierten Richtlinien aufgeführt, die Sie mit Azure Machine Learning zuweisen können. Eine Liste aller integrierten Azure-Richtlinien finden Sie unter Integrierte Richtlinien.

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Machine Learning-Bereitstellungen sollten nur genehmigte Registrierungsmodelle nutzen. Einschränken der Bereitstellung von Registrierungsmodellen, um extern erstellte Modelle zu steuern, die in Ihrer Organisation verwendet werden Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Registrierungsbereitstellungen des Azure Machine Learning-Modells sind eingeschränkt mit Ausnahme der zulässigen Registrierung Stellen Sie Registrierungsmodelle nur in der zulässigen Registrierung bereit und die nicht eingeschränkt sind. Verweigern, deaktiviert 1.0.0-preview
Azure Machine Learning Compute-Instanz sollte im Leerlauf heruntergefahren werden. Durch einen Zeitplan für Herunterfahren im Leerlauf werden Kosten reduziert, indem Computeressourcen heruntergefahren werden, die sich nach einem vordefinierten Aktivitätszeitraum im Leerlauf befinden. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. Stellen Sie sicher, dass Azure Machine Learning-Computeinstanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. Audit, Disabled 1.0.1
Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 2.1.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Machine Learning-Arbeitsbereiche nicht über das öffentliche Internet verfügbar sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Audit, Deny, Disabled 2.0.1
Azure Machine Learning-Arbeitsbereiche sollten V1LegacyMode aktivieren, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen Derzeit erfolgt ein Übergang von Azure ML zu einer neuen V2-API-Plattform in Azure Resource Manager. Sie können die API-Plattformversion mit dem V1LegacyMode-Parameter steuern. Durch das Aktivieren des V1LegacyMode-Parameters können Sie die Netzwerkisolation von V1 für Ihre Arbeitsbereiche, obwohl die neuen V2-Features nicht verfügbar sind. Es wird empfohlen, den V1-Legacymodus nur zu aktivieren, wenn Sie die Daten der AzureML-Steuerungsebene in Ihren privaten Netzwerken beibehalten möchten. Weitere Informationen finden Sie unter https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden Verwalten Sie den Zugriff auf den Azure ML-Arbeitsbereich und die zugehörigen Ressourcen, Azure Container Registry, Key Vault, Storage und App Insights mithilfe einer benutzerseitig zugewiesenen verwalteten Identität. Standardmäßig verwendet der Azure ML-Arbeitsbereich eine systemseitig zugewiesene verwaltete Identität für den Zugriff auf die zugehörigen Ressourcen. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität können Sie die Identität als Azure-Ressource erstellen und den Lebenszyklus dieser Identität verwalten. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Computeressourcen zum Deaktivieren lokaler Authentifizierungsmethoden konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. Modify, Disabled 2.1.0
Azure Machine Learning-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Machine Learning-Arbeitsbereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Azure Machine Learning-Arbeitsbereiche für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff auf das öffentliche Netzwerk für Azure Machine Learning-Arbeitsbereiche, damit Ihre Arbeitsbereiche nicht über das öffentliche Internet zugänglich sind. Dies trägt zum Schutz der Arbeitsbereiche vor Datenlecks bei. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Modify, Disabled 1.0.3
Azure Machine Learning-Arbeitsbereiche mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Machine Learning-Arbeitsbereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Diagnoseeinstellungen für Azure Machine Learning-Arbeitsbereiche im Log Analytics-Arbeitsbereich Stellt die Diagnoseeinstellungen für den Azure Machine Learning-Arbeitsbereich bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Machine Learning-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.1
Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Disabled 1.0.1

Richtlinien können in unterschiedlichen Bereichen festgelegt werden, z. B. auf Abonnement- oder Ressourcengruppenebene. Weitere Informationen finden Sie in der Dokumentation zu Azure Policy.

Zuweisung von integrierten Richtlinien

Um die integrierten Richtliniendefinitionen im Zusammenhang mit Azure Machine Learning anzuzeigen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie im Azure-Portal zu Azure Policy.
  2. Wählen Sie Definitionen aus.
  3. Wählen Sie für Typ die Option Integriert aus. Wählen Sie für Kategorie die Option Machine Learning aus.

Von hier aus können Sie Richtliniendefinitionen auswählen, um sie anzuzeigen. Beim Anzeigen einer Definition können Sie den Link Zuweisen verwenden, um die Richtlinie einem bestimmten Bereich zuzuweisen und die Parameter für die Richtlinie zu konfigurieren. Weitere Informationen finden Sie unter Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mit dem Azure-Portal.

Sie können Richtlinien auch mit Azure PowerShell, der Azure CLI und Vorlagen zuweisen.

Bedingte Zugriffsrichtlinien

Um zu steuern, wer auf Ihren Azure Machine Learning-Arbeitsbereich zugreifen kann, verwenden Sie den bedingten Zugriff von Microsoft Entra. Um den bedingten Zugriff für Azure Machine Learning-Arbeitsbereiche zu verwenden, weisen Sie die Richtlinie für bedingten Zugriff der App Azure Machine Learning zu. Die App-ID lautet 0736f41a-0425-bdb5-1563eff02385.

Ermöglichung von Selbstbedienung durch Zielzonen

Zielzonen sind ein architektonisches Muster, das Skalierung, Governance, Sicherheit und Produktivität beim Einrichten von Azure-Umgebungen berücksichtigt. Eine Datenzielzone ist eine vom Administrator konfigurierte Umgebung, die von einem Anwendungsteam zum Hosten von Daten- und Analyselasten verwendet wird.

Der Zweck der Zielzone ist es, sicherzustellen, dass beim Start eines Teams in der Azure-Umgebung alle Arbeiten zur Konfiguration der Infrastruktur abgeschlossen sind. So werden beispielsweise die Sicherheitskontrollen in Übereinstimmung mit den organisatorischen Standards eingerichtet und die Netzwerkkonnektivität hergestellt.

Mithilfe des Zielzonenmusters können Machine Learning-Teams ihre eigenen Ressourcen als Self-Service bereitstellen und verwalten. Mithilfe von Azure-Richtlinien können Sie als Administrator Azure-Ressourcen für die Compliance überwachen und verwalten.

Azure Machine Learning lässt sich mit Datenzielzonen im Cloud Adoption Framework Datenmanagement- und Analyseszenario integrieren. Diese Referenzimplementierung bietet eine optimierte Umgebung für die Migration von Machine Learning zu Azure Machine Learning und enthält vorkonfigurierte Richtlinien.

Konfigurieren integrierter Richtlinien

Compute-Instanz sollte im Leerlauf heruntergefahren werden.

Diese Richtlinie steuert, ob für eine Azure Machine Learning-Compute-Instanz das Herunterfahren bei Leerlauf aktiviert sein soll. Durch das Herunterfahren bei Leerlauf wird die Compute-Instanz automatisch beendet, wenn sie für einen bestimmten Zeitraum im Leerlauf ist. Diese Richtlinie ist nützlich für Kosteneinsparungen und um sicherzustellen, dass Ressourcen nicht unnötig verwendet werden.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit, Deny oder Disabled fest. Wenn Audit festgelegt ist, können Sie eine Compute-Instanz ohne aktiviertes Herunterfahren bei Leerlauf erstellen, und ein Warnungsereignis wird im Aktivitätsprotokoll erstellt.

Compute-Instanzen müssen neu erstellt werden, um Softwareupdates zu erhalten.

Steuert, ob Azure Machine Learning-Compute-Instanzen überwacht werden sollen, um sicherzustellen, dass sie die neuesten verfügbaren Softwareupdates ausführen. Diese Richtlinie ist hilfreich, um sicherzustellen, dass Compute-Instanzen die neuesten Softwareupdates ausführen, um Sicherheit und Leistung zu gewährleisten. Weitere Informationen finden Sie unter Verwaltung von Sicherheitsrisiken für Azure Machine Learning.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit oder Disabled fest. Bei Festlegung auf Audit wird ein Warnereignis im Aktivitätsprotokoll erstellt, wenn auf einer Compute-Instanz nicht die neuesten Softwareupdates ausgeführt werden.

Computecluster und Instanz sollten sich in einem virtuellen Netzwerk befinden.

Steuert die Überwachung von Computecluster- und Instanzressourcen hinter einem virtuellen Netzwerk.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit oder Disabled fest. Wenn dies auf Audit festgelegt ist, können Sie ein Compute erstellen, das nicht hinter einem virtuellen Netzwerk konfiguriert ist, und im Aktivitätsprotokoll wird ein Warnungsereignis erstellt.

Für Computes müssen die lokalen Authentifizierungsmethoden deaktiviert sein.

Hiermit legen Sie fest, ob die lokale Authentifizierung (SSH) für einen Computecluster oder eine Instanz von Azure Machine Learning deaktiviert werden soll.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit, Deny oder Disabled fest. Wenn Audit festgelegt ist, können Sie ein Compute mit aktiviertem SSH erstellen, und ein Warnungsereignis wird im Aktivitätsprotokoll erstellt.

Wenn die Richtlinie auf Deny festgelegt ist, können Sie nur Computes erstellen, wenn SSH deaktiviert ist. Der Versuch, einen Computecluster mit aktiviertem SSH-Protokoll zu erstellen, führt zu einem Fehler. Der Fehler wird auch im Aktivitätsprotokoll protokolliert. Der Richtlinienbezeichner wird als Teil dieses Fehlers zurückgegeben.

Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden.

Hiermit wird gesteuert, ob Arbeitsbereiche mit einem kundenseitig verwalteten Schlüssel oder einem von Microsoft verwalteten Schlüssel verschlüsselt werden sollen, wenn Metriken und Metadaten verschlüsselt werden. Weitere Informationen zur Verwenden on kundenseitig verwalteten Schlüsseln finden Sie im Abschnitt Azure Cosmos DB des Artikels zur Datenverschlüsselung.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit oder Deny fest. Bei Festlegung auf Audit können Sie einen Arbeitsbereich ohne einen kundenseitig verwalteten Schlüssel erstellen, und im Aktivitätsprotokoll wird ein Warnungsereignis erstellt.

Wenn die Richtlinie auf Deny festgelegt ist, können Sie keinen Arbeitsbereich erstellen, es sei denn, es wird ein kundenseitig verwalteter Schlüssel angegeben. Der Versuch, einen Arbeitsbereich ohne einen kundenseitig verwalteten Schlüssel zu erstellen, führt zu einem Fehler, der Resource 'clustername' was disallowed by policy ähnelt und einen Fehler im Aktivitätsprotokoll generiert. Der Richtlinienbezeichner wird ebenfalls als Teil dieses Fehlers zurückgegeben.

Konfigurieren von Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren

Steuert, ob ein Arbeitsbereich den Netzwerkzugriff über das öffentliche Internet deaktivieren soll.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit, Deny oder Disabled fest. Bei Festlegung auf Audit können Sie einen Arbeitsbereich mit öffentlichem Zugriff erstellen, und im Aktivitätsprotokoll wird ein Warnungsereignis erstellt.

Wenn die Richtlinie auf Deny festgelegt ist, können Sie keinen Arbeitsbereich erstellen, der den Netzwerkzugriff aus dem öffentlichen Internet zulässt.

Arbeitsbereiche müssen V1LegacyMode aktivieren, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen.

Gibt an, ob Arbeitsbereiche V1LegacyMode aktivieren müssen, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen. Diese Richtlinie ist nützlich, wenn Sie die Daten der Azure Machine Learning-Steuerungsebene in Ihren privaten Netzwerken halten möchten. Weitere Informationen finden Sie unter Netzwerkisolationsänderung mit unserer neuen API-Plattform für Azure Resource Manager.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit, Deny oder Disabled fest. Bei Festlegung auf Audit können Sie einen Arbeitsbereich erstellen, ohne V1LegacyMode zu aktivieren, und im Aktivitätsprotokoll wird ein Warnungsereignis erstellt.

Wenn die Richtlinie auf Deny festgelegt ist, können Sie keinen Arbeitsbereich erstellen, es sei denn, er aktiviert V1LegacyMode.

Hiermit wird gesteuert, ob ein Arbeitsbereich über Azure Private Link mit Azure Virtual Network kommunizieren soll. Weitere Informationen zur Verwendung von private Verbindungen finden Sie unter Konfigurieren eines privaten Endpunkts für einen Azure Machine Learning-Arbeitsbereich.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit oder Deny fest. Bei Festlegung auf Audit können Sie einen Arbeitsbereich ohne private Verbindung erstellen, und im Aktivitätsprotokoll wird ein Warnungsereignis erstellt.

Bei Festlegung der Richtlinie auf Deny können Sie nur dann einen Arbeitsbereich erstellen, wenn er eine private Verbindung verwendet. Der Versuch, einen Arbeitsbereich ohne Private Link zu erstellen, führt zu einem Fehler. Der Fehler wird auch im Aktivitätsprotokoll protokolliert. Der Richtlinienbezeichner wird als Teil dieses Fehlers zurückgegeben.

Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden.

Steuert, ob ein Arbeitsbereich mit einer vom System zugewiesenen verwalteten Identität (Standard) oder einer vom Benutzer zugewiesenen verwalteten Identität erstellt wird. Die verwaltete Identität für den Arbeitsbereich wird für den Zugriff auf zugehörige Ressourcen wie Azure Storage, Azure Container Registry, Azure Key Vault und Azure Anwendung Insights verwendet. Weitere Informationen finden Sie unter Einrichten der Authentifizierung zwischen Azure Machine Learning und anderen Diensten.

Um diese Richtlinie zu konfigurieren, legen Sie den Effektparameter auf Audit, Deny oder Disabled fest. Wenn diese Option auf Audit festgelegt ist, können Sie einen Arbeitsbereich erstellen, ohne eine benutzerseitig zugewiesene verwaltete Identität anzugeben. Es wird eine systemseitig zugewiesene Identität verwendet und ein Warnereignis im Aktivitätsprotokoll erstellt.

Wenn die Richtlinie auf Deny festgelegt ist, können Sie keinen Arbeitsbereich erstellen, es sei denn, Sie geben während des Erstellungsprozesses eine benutzerseitig zugewiesene Identität an. Der Versuch, einen Arbeitsbereich zu erstellen, ohne eine dem Benutzer zugewiesene Identität anzugeben, führt zu einem Fehler. Der Fehler wird auch in das Aktivitätsprotokoll aufgenommen. Der Richtlinienbezeichner wird als Teil dieses Fehlers zurückgegeben.

Konfigurieren von Computes zum Ändern/Deaktivieren der lokalen Authentifizierung

Diese Richtlinie ändert alle Azure Machine Learning-Computecluster- oder Instanzerstellungsanforderungen so, dass die lokale Authentifizierung (SSH) zu deaktiviert wird.

Legen Sie den Parameter „effect“ auf Modify oder Disabled fest, um diese Richtlinie zu konfigurieren. Wenn Anpassen festgelegt ist, wird die lokale Authentifizierung für erstellte Computecluster oder -instanzen automatisch deaktiviert, die im Anwendungsbereich der Richtlinie liegen.

Konfigurieren des Arbeitsbereichs für die Verwendung privater DNS-Zonen

Hiermit wird ein Arbeitsbereich so konfiguriert, dass eine private DNS-Zone verwendet und dabei die DNS-Standardauflösung für einen privaten Endpunkt überschrieben wird.

Legen Sie zur Konfiguration dieser Richtlinie den Parameter „effect“ auf DeployIfNotExists fest. Geben Sie für privateDnsZoneId die Azure Resource Manager-ID der privaten DNS-Zone an, die verwendet werden soll.

Konfigurieren von Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren

Konfiguriert einen Arbeitsbereich zum Deaktivieren des Netzwerkzugriffs über das öffentliche Internet. Durch das Deaktivieren des Zugriffs auf öffentliche Netzwerke können Sie die Arbeitsbereiche vor Datenlecks schützen. Sie können stattdessen auf Ihren Arbeitsbereich zugreifen, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter Konfigurieren eines privaten Endpunkts für Azure Machine Learning-Arbeitsbereich.

Legen Sie den Parameter „effect“ auf Modify oder Disabled fest, um diese Richtlinie zu konfigurieren. Wenn diese Einstellung auf Anpassenfestgelegt ist, wird der Zugriff auf öffentliche Netzwerke für erstellte Arbeitsbereiche automatisch deaktiviert, die im Anwendungsbereich der Richtlinie liegen.

Konfigurieren von Arbeitsbereichen mit privaten Endpunkten

Hiermit wird ein Arbeitsbereich so konfiguriert, dass innerhalb des angegebenen Azure Virtual Network-Subnetzes ein privater Endpunkt erstellt wird.

Legen Sie zur Konfiguration dieser Richtlinie den Parameter „effect“ auf DeployIfNotExists fest. Stellen Sie die privateEndpointSubnetID auf die Azure Ressourcen-Manager-ID des Subnetzes ein.

Konfigurieren von Diagnosearbeitsbereichen zum Senden von Protokollen an Log Analytics-Arbeitsbereiche

Konfiguriert die Diagnoseeinstellungen für einen Azure Machine Learning-Arbeitsbereich zum Senden von Protokollen an einen Log Analytics-Arbeitsbereich.

Legen Sie zur Konfiguration dieser Richtlinie den Effektparameter auf DeployIfNotExists oder Disabled fest. Wenn diese Einstellung auf DeployIfNotExists festgelegt ist, erstellt die Richtlinie eine Diagnoseeinstellung zum Senden von Protokollen an einen Log Analytics-Arbeitsbereich, falls sie noch nicht vorhanden ist.

Ressourcenprotokolle in Arbeitsbereichen müssen aktiviert sein.

Überprüft, ob Ressourcenprotokolle für einen Azure Machine Learning-Arbeitsbereich aktiviert sind. Ressourcenprotokolle enthalten detaillierte Informationen zu Vorgängen, die für Ressourcen im Arbeitsbereich ausgeführt werden.

Legen Sie zur Konfiguration dieser Richtlinie den Effektparameter auf AuditIfNotExists oder Disabled fest. Wenn dieser Wert auf AuditIfNotExists festgelegt ist, überprüft die Richtlinie, ob Ressourcenprotokolle für den Arbeitsbereich nicht aktiviert sind.

Erstellen benutzerdefinierter Definitionen

Wenn Sie benutzerdefinierte Richtlinien für Ihre Organisation erstellen müssen, können Sie die Azure Policy-Definitionsstruktur verwenden, um eigene Definitionen zu erstellen. Sie können die Azure Policy-Erweiterung für Visual Studio Code verwenden, um Ihre Richtlinien zu erstellen und zu testen.

Um die Richtlinienaliasse zu ermitteln, die Sie in Ihrer Definition nutzen können, verwenden Sie den folgenden Azure CLI-Befehl, um die Aliasse für Azure Machine Learning aufzulisten:

az provider show --namespace Microsoft.MachineLearningServices --expand "resourceTypes/aliases" --query "resourceTypes[].aliases[].name"

Um die zulässigen Werte für einen bestimmten Alias zu ermitteln, sehen Sie sich Azure Machine Learning-REST-API an.

Ein Tutorial zum Erstellen benutzerdefinierter Richtlinien (nicht spezifisch für Azure Machine Learning) finden Sie unter Erstellen einer benutzerdefinierten Richtliniendefinition.

Beispiel: Blockieren von serverlosen Spark-Computeaufträgen

{
    "properties": {
        "displayName": "Deny serverless Spark compute jobs",
        "description": "Deny serverless Spark compute jobs",
        "mode": "All",
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "Microsoft.MachineLearningServices/workspaces/jobs/jobType",
                        "in": [
                            "Spark"
                        ]
                    }
                ]
            },
            "then": {
                "effect": "Deny"
            }
        },
        "parameters": {}
    }
}

Beispiel: Konfigurieren einer privaten IP für verwaltete Compute-Instanzen

{
    "properties": {
        "displayName": "Deny compute instance and compute cluster creation with public IP",
        "description": "Deny compute instance and compute cluster creation with public IP",
        "mode": "all",
        "parameters": {
            "effectType": {
                "type": "string",
                "defaultValue": "Deny",
                "allowedValues": [
                    "Deny",
                    "Disabled"
                ],
                "metadata": {
                    "displayName": "Effect",
                    "description": "Enable or disable the execution of the policy"
                }
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                  {
                    "field": "type",
                    "equals": "Microsoft.MachineLearningServices/workspaces/computes"
                  },
                  {
                    "allOf": [
                      {
                        "field": "Microsoft.MachineLearningServices/workspaces/computes/computeType",
                        "notEquals": "AKS"
                      },
                      {
                        "field": "Microsoft.MachineLearningServices/workspaces/computes/enableNodePublicIP",
                        "equals": true
                      }
                    ]
                  }
                ]
              },
            "then": {
                "effect": "[parameters('effectType')]"
            }
        }
    }
}