Contrôler des déploiements dans un catalogue de modèles en utilisant des stratégies
Le catalogue de modèles dans Azure Machine Learning studio fournit l’accès à plusieurs modèles de base open source et le contrôle des déploiements de ces modèles en appliquant des normes d’organisation peut être d’une importante primordiale pour répondre à vos exigences de sécurité et de conformité. Dans cet article, vous découvrez comment limiter les déploiements à partir du catalogue de modèles en utilisant une stratégie Azure Policy intégrée.
Azure Policy est un outil de gouvernance qui permet aux utilisateurs d’auditer, d’effectuer une application en temps réel et de gérer leur environnement Azure à grande échelle. Pour plus d’informations, reportez-vous à la rubrique Présentation du service Azure Policy.
Exemples de scénarios d’utilisation :
- Vous voulez appliquer vos stratégies de sécurité organisationnelles, mais vous ne disposez pas d’un moyen fiable et automatisé pour le faire.
- Vous souhaitez assouplir certaines exigences pour vos équipes de test, tout en conservant des contrôles étroits sur votre environnement de production. Vous recherchez une méthode automatisée simple pour séparer l’application de vos ressources.
Modèles de déploiement de registre Azure Policy pour Azure Machine Learning
Avec la stratégie intégrée pour les modèles de déploiement de registre Azure Machine Learning (préversion), vous pouvez refuser tous les déploiements de registres ou autoriser des modèles de déploiement à partir d’un registre spécifique. Vous pouvez également ajouter des listes de refus facultatives de modèles et ajouter des exceptions à la liste au sein du registre autorisé.
Cette stratégie intégrée prend en charge l’effet Deny uniquement.
Deny: Avec l’effet de la stratégie défini sur « Refuser », la stratégie bloque la création de nouveaux déploiements à partir de registres Azure Machine Learning qui ne respectent pas la définition de la stratégie et génère un événement dans le journal d’activité. Les déploiements non conformes existants ne sont pas affectés.
Les collections du catalogue de modèles sont mises à la disposition des utilisateurs en utilisant des registres sous-jacents. Vous trouverez le nom du registre sous-jacent dans l’ID de ressource du modèle.
Créer une attribution de stratégie
Sur la page d’accueil Azure, entrez « Stratégie » dans la barre de recherche, puis sélectionnez l’icône Azure Policy.
Dans le service Azure Policy, sous Création, sélectionnez Affectations.
Sur la page « Affectations », sélectionnez l’icône Attribuer une stratégie en haut.
Dans l’onglet « Informations de base » de la page « Attribuer une stratégie », mettez à jour les champs suivants :
- Étendue : sélectionnez les abonnements et les groupes de ressources Azure auxquels les stratégies s’appliquent.
- Exclusions : sélectionnez toutes les ressources de l’étendue à exclure de l’affectation de stratégie.
- Définition de la stratégie : sélectionnez la définition de stratégie à appliquer à l’étendue avec des exclusions. Tapez « Azure Machine Learning » dans la barre de recherche et localisez la stratégie « [Préversion] Les déploiements de registres de modèles Azure Machine Learning sont limités, à l’exception des registres autorisés ». Sélectionnez la stratégie, puis Ajouter.
Sélectionnez l’onglet Paramètres et mettez à jour les paramètres d’affectation de stratégie et « Effet ». Veillez à décocher la case « Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation » pour voir tous les paramètres. Pour clarifier la fonction du paramètre, survolez l’icône d’informations à côté du nom du paramètre.
Si aucun ID de ressource de modèle n’est défini dans le paramètre AssetIds de modèle restreint pendant l’affectation de la stratégie, cette dernière autorise uniquement le déploiement de tous les modèles à partir du registre de modèles spécifié dans le paramètre Nom de registre autorisé.
Sélectionnez Vérifier + créer pour finaliser l’affectation de votre stratégie. Attendez environ 15 minutes pour que l’affectation de stratégie soit active pour les nouvelles ressources.
Désactiver la stratégie
Vous pouvez supprimer l’affectation de la stratégie dans le Portail Azure en procédant comme suit :
- Accédez au volet Stratégie sur le portail Azure.
- Sélectionnez Affectations.
- Sélectionnez « ... » à côté de l’affectation de votre stratégie, puis Supprimer l’affectation.
Limites
- L’application effective dans le processus d’évaluation de toute modification apportée à la stratégie (notamment la mise à jour de la définition de stratégie, les affectations, les exemptions ou la stratégie définie) prend 10 minutes.
- La conformité est signalé pour les déploiements mis à jour ou nouvellement créés. Pendant la préversion publique, les enregistrements de conformité sont conservés pendant 24 heures. Les modèles de déploiement existant avant l’affectation de ces définitions de stratégie ne signalent pas la conformité. Vous ne pouvez pas non plus déclencher les évaluations de déploiements qui existaient avant la configuration de la définition et de l’affectation de la stratégie.
- Vous ne pouvez pas établir de liste d’autorisation relative à plus d’un registre dans une affectation de stratégie.
Étapes suivantes
- Découvrez comment obtenir des données de conformité.
- Apprenez comment créer des stratégies par programmation.
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour