Azure Policy beépített szabályzatdefiníciók az Azure Machine Learninghez
Ez a lap az Azure Machine Learning beépített Szabályzatdefinícióinak indexe. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Ezeknek a gyakori felhasználási eseteknek a szabályzatdefiníciói már elérhetők beépített modulokként az Azure-környezetben, segítséget nyújtva a munka megkezdéséhez. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A GitHub oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Beépített szabályzatdefiníciók
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Machine Learning üzemelő példányai csak jóváhagyott beállításjegyzék-modelleket használhatnak | A beállításjegyzék-modellek telepítésének korlátozása a szervezeten belül használt külsőleg létrehozott modellek szabályozására | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Machine Learning-modell beállításjegyzékének központi telepítései az engedélyezett beállításjegyzék kivételével korlátozottak | Csak a beállításjegyzék-modelleket helyezze üzembe az engedélyezett beállításjegyzékben, és amelyek nincsenek korlátozva. | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Machine Learning számítási példányának tétlen leállítást kell használnia. | Az üresjárati leállítás ütemezése csökkenti a költségeket azáltal, hogy leállítja az előre meghatározott tevékenységi időszak után tétlen számításokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Learning számítási példányait újra létre kell hozni a legújabb szoftverfrissítések beszerzéséhez | Győződjön meg arról, hogy az Azure Machine Learning számítási példányai a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Az Azure Machine Learning Computesnek virtuális hálózaton kell lennie | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Learning számítási fürtöi és példányai, valamint alhálózatai, hozzáférés-vezérlési szabályzatai és egyéb funkciói számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. | Naplózás, letiltva | 1.0.1 |
| Az Azure Machine Learning Computesben le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása azáltal javítja a biztonságot, hogy a Machine Learning Computes csak a hitelesítéshez igényel Azure Active Directory-identitásokat. További információ: https://aka.ms/azure-ml-aad-policy. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Machine Learning-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Machine Learning-munkaterületek nem érhetők el a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az Azure Machine Learning-munkaterületeknek engedélyeznie kell a V1LegacyMode-ot a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához | Az Azure ML áttér egy új V2 API-platformra az Azure Resource Managerben, és a V1LegacyMode paraméterrel vezérelheti az API-platform verzióját. A V1LegacyMode paraméter engedélyezése lehetővé teszi, hogy a munkaterületek ugyanabban a hálózati elkülönítésben maradjanak, mint a V1, bár nem fogja használni az új V2-funkciókat. Javasoljuk, hogy csak akkor kapcsolja be a V1 örökölt módot, ha meg szeretné őrizni az AzureML vezérlősík adatait a magánhálózatokon belül. További információ: https://aka.ms/V1LegacyMode. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Machine Learning-munkaterületeknek felhasználó által hozzárendelt felügyelt identitást kell használniuk | Hozzáférés az Azure ML-munkaterülethez és a kapcsolódó erőforrásokhoz, az Azure Container Registryhez, a KeyVaulthoz, a Storage-hoz és az App Insightshoz felhasználó által hozzárendelt felügyelt identitás használatával. Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitást az Azure ML-munkaterület használja a társított erőforrások eléréséhez. A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi az identitás Azure-erőforrásként való létrehozását és az identitás életciklusának fenntartását. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Learning Computes konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyhitelesítési módszereket, hogy a Machine Learning Computes kizárólag a hitelesítéshez igényelje az Azure Active Directory-identitásokat. További információ: https://aka.ms/azure-ml-aad-policy. | Módosítás, letiltva | 2.1.0 |
| Az Azure Machine Learning-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Machine Learning-munkaterületekhez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Az Azure Machine Learning-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Machine Learning-munkaterületek nyilvános hálózati hozzáférését, hogy a munkaterületek ne legyenek elérhetők a nyilvános interneten keresztül. Ez segít megvédeni a munkaterületeket az adatszivárgási kockázatokkal szemben. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Módosítás, letiltva | 1.0.3 |
| Azure Machine Learning-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Machine Learning-munkaterületre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Machine Learning-munkaterületek diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi az Azure Machine Learning-munkaterületek diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Azure Machine Learning-munkaterületek létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Machine Learning-munkaterületeken | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.