Integrierte Azure Policy-Richtliniendefinitionen für Azure Machine Learning
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Machine Learning. Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung. Richtliniendefinitionen für diese häufigen Anwendungsfälle sind in ihrer Azure-Umgebung bereits integriert bereitgestellt, um Ihnen den Einstieg zu erleichtern. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte GitHub, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Integrierte Richtliniendefinitionen
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Registrierungsbereitstellungen des Azure Machine Learning-Modells sind eingeschränkt mit Ausnahme der zulässigen Registrierung | Stellen Sie Registrierungsmodelle nur in der zulässigen Registrierung bereit und die nicht eingeschränkt sind. | Verweigern, deaktiviert | 1.0.0-preview |
| Azure Machine Learning Compute-Instanz sollte im Leerlauf heruntergefahren werden. | Durch einen Zeitplan für Herunterfahren im Leerlauf werden Kosten reduziert, indem Computeressourcen heruntergefahren werden, die sich nach einem vordefinierten Aktivitätszeitraum im Leerlauf befinden. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. | Stellen Sie sicher, dass Azure Machine Learning-Computeinstanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden | Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. | Audit, Disabled | 1.0.1 |
| Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Machine Learning-Arbeitsbereiche nicht über das öffentliche Internet verfügbar sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Azure Machine Learning-Arbeitsbereiche sollten V1LegacyMode aktivieren, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen | Derzeit erfolgt ein Übergang von Azure ML zu einer neuen V2-API-Plattform in Azure Resource Manager. Sie können die API-Plattformversion mit dem V1LegacyMode-Parameter steuern. Durch das Aktivieren des V1LegacyMode-Parameters können Sie die Netzwerkisolation von V1 für Ihre Arbeitsbereiche, obwohl die neuen V2-Features nicht verfügbar sind. Es wird empfohlen, den V1-Legacymodus nur zu aktivieren, wenn Sie die Daten der AzureML-Steuerungsebene in Ihren privaten Netzwerken beibehalten möchten. Weitere Informationen finden Sie unter https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden | Verwalten Sie den Zugriff auf den Azure ML-Arbeitsbereich und die zugehörigen Ressourcen, Azure Container Registry, Key Vault, Storage und App Insights mithilfe einer benutzerseitig zugewiesenen verwalteten Identität. Standardmäßig verwendet der Azure ML-Arbeitsbereich eine systemseitig zugewiesene verwaltete Identität für den Zugriff auf die zugehörigen Ressourcen. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität können Sie die Identität als Azure-Ressource erstellen und den Lebenszyklus dieser Identität verwalten. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Computeressourcen zum Deaktivieren lokaler Authentifizierungsmethoden konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Modify, Disabled | 2.1.0 |
| Azure Machine Learning-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Machine Learning-Arbeitsbereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure Machine Learning-Arbeitsbereiche für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff auf das öffentliche Netzwerk für Azure Machine Learning-Arbeitsbereiche, damit Ihre Arbeitsbereiche nicht über das öffentliche Internet zugänglich sind. Dies trägt zum Schutz der Arbeitsbereiche vor Datenlecks bei. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modify, Disabled | 1.0.3 |
| Azure Machine Learning-Arbeitsbereiche mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Machine Learning-Arbeitsbereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Diagnoseeinstellungen für Azure Machine Learning-Arbeitsbereiche im Log Analytics-Arbeitsbereich | Stellt die Diagnoseeinstellungen für den Azure Machine Learning-Arbeitsbereich bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Machine Learning-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.1 |
| Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.