Definiciones de directivas integradas de Azure Policy para Azure Machine Learning
Esta página es un índice de definiciones de directivas integradas de Azure Policy para Azure Machine Learning. Entre los casos de uso comunes de Azure Policy se incluye la implementación de la gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, el costo y la administración. Las definiciones de directiva de estos casos de uso comunes ya están disponibles en el entorno de Azure como complementos para ayudarle a comenzar. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna GitHub para ver el origen en el repositorio de GitHub de Azure Policy.
Definiciones de directiva integradas
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: Las implementaciones de Azure Machine Learning solo deben usar modelos de Registro aprobados | Restringir la implementación de modelos del Registro para controlar los modelos creados externamente que se usan en la organización | Audit, Deny, Disabled | 1.0.0-preview |
[Versión preliminar]: las implementaciones del registro de modelos de Azure Machine Learning están restringidas, excepto para el registro permitido | Implemente solo los modelos del registro en el registro permitido y que no estén restringidos. | Deny, Disabled | 1.0.0-preview |
La instancia de proceso de Azure Machine Learning debe tener un apagado por inactividad. | Al tener una programación de apagado por inactividad, se reduce el coste al cerrar los procesos que están inactivos después de un período de actividad predeterminado. | Audit, Deny, Disabled | 1.0.0 |
Las instancias de proceso de Azure Machine Learning se deben volver a crear para obtener las actualizaciones de software más recientes | Asegúrese de que las instancias de proceso de Azure Machine Learning se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Los procesos de Azure Machine Learning deben estar en una red virtual | Las instancias de Azure Virtual Network aportan mayor seguridad y aislamiento a sus instancias y clústeres de proceso de Azure Machine Learning, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual. | Audit, Disabled | 1.0.1 |
Los procesos de Azure Machine Learning deberían tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad ya que garantiza que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. | Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
Las áreas de trabajo de Azure Machine Learning deberían deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Machine Learning no se exponga en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
Las áreas de trabajo de Azure Machine Learning deben habilitar V1LegacyMode para admitir la compatibilidad con versiones anteriores de aislamiento de red | Azure ML realiza una transición a una nueva plataforma de API V2 en Azure Resource Manager y puede controlar la versión de la plataforma de API mediante el parámetro V1LegacyMode. La habilitación del parámetro V1LegacyMode le permitirá mantener las áreas de trabajo en el mismo aislamiento de red que V1, aunque no tendrá el uso de las nuevas características V2. Se recomienda activar el modo heredado V1 solo cuando desee mantener los datos del plano de control de AzureML dentro de las redes privadas. Más información en: https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
Las áreas de trabajo de Azure Machine Learning deben usar la identidad administrada asignada por el usuario | Administre el acceso al área de trabajo de Azure Machine Learning y a los recursos asociados, Azure Container Registry, KeyVault, Storage y App Insights mediante la identidad administrada asignada por el usuario. De forma predeterminada, el área de trabajo de Azure Machine Learning usa la identidad administrada asignada por el sistema para acceder a los recursos asociados. La identidad administrada asignada por el usuario le permite crear la identidad como recurso de Azure y mantener el ciclo de vida de esa identidad. Obtenga más información en https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
Configurar los procesos de Azure Machine Learning para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación de ubicación para que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. | Modificar, Deshabilitado | 2.1.0 |
Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
Configuración de las áreas de trabajo de Azure Machine Learning para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública de las áreas de trabajo de Azure Machine Learning para que estas no sean accesibles a través de la red pública de Internet. Esto ayuda a proteger las áreas de trabajo frente a riesgos de pérdida de datos. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Modificar, Deshabilitado | 1.0.3 |
Configuración de áreas de trabajo de Azure Machine Learning con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su área de trabajo de Azure Machine Learning, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
Configuración de la configuración de diagnóstico del área de trabajo de Azure Machine Learning en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico del área de trabajo de Azure Machine Learning para que transmita los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier área de trabajo de Azure Machine Learning a la que le falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.1 |
Los registros de recursos del área de trabajo de Azure Machine Learning deben estar habilitados | Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 1.0.1 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.