Azure Policy beépített szabályzatdefiníciók az Azure Machine Tanulás
Ez a lap az Azure Machine Tanulás azure policy beépített szabályzatdefinícióinak indexe. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Ezeknek a gyakori felhasználási eseteknek a szabályzatdefiníciói már elérhetők beépített modulokként az Azure-környezetben, segítséget nyújtva a munka megkezdéséhez. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A GitHub oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Beépített szabályzatdefiníciók
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Machine Tanulás Modellregisztrációs adatbázis üzembe helyezése korlátozott, kivéve az engedélyezett beállításjegyzéket | Csak a beállításjegyzék-modelleket helyezze üzembe az engedélyezett beállításjegyzékben, és amelyek nincsenek korlátozva. | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Machine Tanulás számítási példánynak tétlen le kell állítania. | Az üresjárati leállítás ütemezése csökkenti a költségeket azáltal, hogy leállítja az előre meghatározott tevékenységi időszak után tétlen számításokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás számítási példányokat újra létre kell hozni a legújabb szoftverfrissítések lekéréséhez | Győződjön meg arról, hogy az Azure Machine Tanulás számítási példányok a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Az Azure Machine Tanulás Computesnek virtuális hálózaton kell lennie | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Tanulás számítási fürtök és példányok, valamint az alhálózatok, a hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. | Naplózás, letiltva | 1.0.1 |
| Az Azure Machine Tanulás Computes esetében le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a machine Tanulás Computes kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/azure-ml-aad-policy. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine többi részén Tanulás munkaterület adatainak kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.0.3 |
| Az Azure Machine Tanulás-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a Tanulás-munkaterületek ne legyenek közzétéve a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az Azure Machine Tanulás-munkaterületeknek engedélyeznie kell a V1LegacyMode-ot a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához | Az Azure ML áttér egy új V2 API-platformra az Azure Resource Managerben, és a V1LegacyMode paraméterrel vezérelheti az API-platform verzióját. A V1LegacyMode paraméter engedélyezése lehetővé teszi, hogy a munkaterületek ugyanabban a hálózati elkülönítésben maradjanak, mint a V1, bár nem fogja használni az új V2-funkciókat. Javasoljuk, hogy csak akkor kapcsolja be a V1 örökölt módot, ha meg szeretné őrizni az AzureML vezérlősík adatait a magánhálózatokon belül. További információ: https://aka.ms/V1LegacyMode. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek felhasználó által hozzárendelt felügyelt identitást kell használniuk | Felhasználói hozzáférés az Azure ML-munkaterülethez és a kapcsolódó erőforrásokhoz, az Azure Container Registryhez, a KeyVaulthoz, a Storage-hoz és az alkalmazáshoz Elemzések felhasználó által hozzárendelt felügyelt identitás használatával. Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitást az Azure ML-munkaterület használja a társított erőforrások eléréséhez. A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi az identitás Azure-erőforrásként való létrehozását és az identitás életciklusának fenntartását. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás Computes konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyhitelesítési módszereket, hogy a számítógép Tanulás számításai kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/azure-ml-aad-policy. | Módosítás, letiltva | 2.1.0 |
| Az Azure Machine Tanulás-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Machine Tanulás-munkaterületekhez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Az Azure Machine Tanulás-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Machine Tanulás-munkaterületek nyilvános hálózati hozzáférését, hogy a munkaterületek ne legyenek elérhetők a nyilvános interneten keresztül. Ez segít megvédeni a munkaterületeket az adatszivárgási kockázatokkal szemben. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Módosítás, letiltva | 1.0.3 |
| Azure Machine Tanulás-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Machine Tanulás-munkaterületre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai beállítások konfigurálása az Azure Machine Tanulás-munkaterületekhez a Log Analytics-munkaterületre | Üzembe helyezi az Azure Machine Tanulás-munkaterületek diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Azure Machine Tanulás-munkaterületek létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Machine Tanulás-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.