Controllare e gestire Azure Machine Learning
Quando i team collaborano ad Azure Machine Learning, possono soddisfare requisiti diversi per configurare e organizzare le risorse. I team di Machine Learning potrebbero cercare flessibilità in come organizzare le aree di lavoro per la collaborazione o come ridimensionare i cluster di calcolo per i requisiti dei casi d'uso. In questi scenari, la produttività può trarre vantaggio se i team delle applicazioni possono gestire la propria infrastruttura.
Gli amministratori della piattaforma possono usare i criteri per definire le protezioni per consentire ai team di gestire le proprie risorse. Criteri di Azure consente di controllare e gestire lo stato delle risorse. Questo articolo illustra come usare i controlli di controllo e le procedure di governance per Azure Machine Learning.
Criteri per Azure Machine Learning
Criteri di Azure è uno strumento di governance che consente di assicurarsi che le risorse di Azure siano conformi ai criteri.
Criteri di Azure fornisce un set di criteri che è possibile usare per scenari comuni con Azure Machine Learning. È possibile assegnare queste definizioni di criteri alla sottoscrizione esistente o usarle come base per creare definizioni personalizzate.
La tabella seguente elenca i criteri predefiniti che è possibile assegnare con Azure Machine Learning. Per un elenco di tutti i criteri predefiniti di Azure, vedere Criteri predefiniti.
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le distribuzioni del Registro modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuisci solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | Deny, Disabled | 1.0.0-preview |
| L'istanza di calcolo di Azure Machine Learning deve avere un arresto inattiva. | La pianificazione di arresto inattivo riduce i costi arrestando i calcoli inattive dopo un periodo di attività predeterminato. | Audit, Deny, Disabled | 1.0.0 |
| È necessario ricreare le istanza di ambiente di calcolo di Azure Machine Learning per ottenere gli aggiornamenti software più recenti | Verificare che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Gli ambienti di calcolo di Azure Machine Learning devono essere in una rete virtuale | I Rete virtuale di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Audit, Disabled | 1.0.1 |
| Gli ambienti di calcolo di Machine Learning devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i calcoli di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Le aree di lavoro di Azure Machine Learning devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento di rete | Azure ML sta effettuando una transizione a una nuova piattaforma API V2 in Azure Resource Manager ed è possibile controllare la versione della piattaforma API usando il parametro V1LegacyMode. L'abilitazione del parametro V1LegacyMode consentirà di mantenere le aree di lavoro nello stesso isolamento di rete della versione 1, anche se non si avranno a disposizione le nuove funzionalità V2. È consigliabile attivare la modalità legacy V1 solo quando si desidera mantenere i dati del piano di controllo AzureML all'interno delle reti private. Per altre informazioni, vedere https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare l'identità gestita assegnata dall'utente | Accesso manange all'area di lavoro di Azure ML e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata dall'area di lavoro di Azure ML per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa di Azure e di mantenere il ciclo di vita di tale identità. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Configurare i calcoli di Azure Machine Learning per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che i computer di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Modifica, Disabilitata | 2.1.0 |
| Configurare l'area di lavoro di Azure Machine Learning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Azure Machine Learning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le aree di lavoro di Azure Machine Learning in modo che le aree di lavoro non siano accessibili tramite La rete Internet pubblica. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modifica, Disabilitata | 1.0.3 |
| Configurare le aree di lavoro di Azure Machine Learning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati all'area di lavoro di Azure Machine Learning, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando un'area di lavoro di Azure Machine Learning mancante è stata creata o aggiornata. | DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse nell'area di lavoro di Azure Machine Learning devono essere abilitati | I log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
I criteri possono essere impostati in ambiti diversi, ad esempio a livello di sottoscrizione o di gruppo di risorse. Per altre informazioni, vedere la documentazione di Criteri di Azure.
Assegnazione di criteri predefiniti
Per visualizzare le definizioni di criteri predefinite correlate ad Azure Machine Learning, seguire questa procedura:
- Passare a Criteri di Azure nel portale di Azure.
- Selezionare Definizioni.
- Per Tipo selezionare Predefinito. Per Categoria selezionare Machine Learning.
Da qui è possibile selezionare le definizioni dei criteri per visualizzarle. Durante la visualizzazione di una definizione, è possibile usare il collegamento Assegna per assegnare i criteri a un ambito specifico e configurare i parametri per i criteri. Per altre informazioni, vedere Creare un'assegnazione di criteri per identificare le risorse non conformi usando portale di Azure.
È anche possibile assegnare criteri usando Azure PowerShell, l'interfaccia della riga di comando di Azure o i modelli.
Criteri di accesso condizionale
Per controllare chi può accedere all'area di lavoro di Azure Machine Learning, usare l'accesso condizionale Microsoft Entra. Per usare l'accesso condizionale per le aree di lavoro di Azure Machine Learning, assegnare i criteri di accesso condizionale all'app denominata Azure Machine Learning. L'ID app è 0736f41a-0425-bdb5-1563eff02385.
Abilitare la modalità self-service usando le zone di destinazione
Le zone di destinazione sono un modello architetturale che rappresenta la scalabilità, la governance, la sicurezza e la produttività durante la configurazione di ambienti Azure. Una zona di destinazione dei dati è un ambiente configurato dall'amministratore che un team di applicazioni usa per ospitare un carico di lavoro di dati e analisi.
Lo scopo della zona di destinazione è garantire che tutto il lavoro di configurazione dell'infrastruttura venga eseguito all'avvio di un team nell'ambiente Azure. Ad esempio, i controlli di sicurezza vengono configurati in conformità agli standard dell'organizzazione e la connettività di rete è configurata.
Usando il modello di zone di destinazione, i team di Machine Learning possono distribuire e gestire le proprie risorse in modalità self-service. Usando Criteri di Azure come amministratore, è possibile controllare e gestire le risorse di Azure per la conformità.
Azure Machine Learning si integra con le zone di destinazione dei dati nello scenario di analisi e gestione dei dati di Cloud Adoption Framework. Questa implementazione di riferimento fornisce un ambiente ottimizzato per eseguire la migrazione di carichi di lavoro di Machine Learning in Azure Machine Learning e include criteri preconfigurati.
Configurare i criteri predefiniti
L'istanza di calcolo deve avere un arresto inattiva
Questo criterio controlla se un'istanza di calcolo di Azure Machine Learning deve avere l'arresto inattiva abilitato. L'arresto inattiva arresta automaticamente l'istanza di calcolo quando è inattiva per un periodo di tempo specificato. Questo criterio è utile per risparmiare sui costi e per garantire che le risorse non vengano usate inutilmente.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit, Deny o Disabled. Se è impostata su Audit, è possibile creare un'istanza di calcolo senza arresto inattiva abilitato e viene creato un evento di avviso nel log attività.
Le istanze di calcolo devono essere ricreate per ottenere gli aggiornamenti software
Controlla se le istanze di calcolo di Azure Machine Learning devono essere controllate per assicurarsi che eseguano gli aggiornamenti software disponibili più recenti. Questo criterio è utile per garantire che le istanze di calcolo eseguano gli aggiornamenti software più recenti per mantenere la sicurezza e le prestazioni. Per altre informazioni, vedere Gestione delle vulnerabilità per Azure Machine Learning.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit o Disabled. Se impostato su Audit, viene creato un evento di avviso nel log attività quando un ambiente di calcolo non esegue gli aggiornamenti software più recenti.
Il cluster di calcolo e l'istanza devono trovarsi in una rete virtuale
Controlla il controllo delle risorse del cluster di calcolo e dell'istanza dietro una rete virtuale.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit o Disabled. Se impostato su Audit, è possibile creare un ambiente di calcolo non configurato dietro una rete virtuale e viene creato un evento di avviso nel log attività.
I calcoli devono avere metodi di autenticazione locali disabilitati.
Controlla se un cluster di calcolo o un'istanza di Azure Machine Learning deve disabilitare l'autenticazione locale (SSH).
Per configurare questo criterio, impostare il parametro dell'effetto su Audit, Deny o Disabled. Se è impostato su Audit, è possibile creare un ambiente di calcolo con SSH abilitato e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un ambiente di calcolo a meno che SSH non sia disabilitato. Il tentativo di creare un ambiente di calcolo con SSH abilitato genera un errore. L'errore viene registrato anche nel log attività. L'identificatore dei criteri viene restituito come parte di questo errore.
Le aree di lavoro devono essere crittografate con la chiave gestita dal cliente
Controlla se un'area di lavoro deve essere crittografata con una chiave gestita dal cliente o con una chiave gestita da Microsoft per crittografare metriche e metadati. Per altre informazioni sull'uso della chiave gestita dal cliente, vedere la sezione Azure Cosmos DB dell'articolo relativo alla crittografia dei dati.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit o Deny. Se impostato su Audit, è possibile creare un'area di lavoro senza una chiave gestita dal cliente e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un'area di lavoro a meno che non specifichi una chiave gestita dal cliente. Il tentativo di creare un'area di lavoro senza una chiave gestita dal cliente genera un errore simile a Resource 'clustername' was disallowed by policy e crea un errore nel log attività. L'identificatore dei criteri viene restituito anche come parte di questo errore.
Configurare le aree di lavoro per disabilitare l'accesso alla rete pubblica
Controlla se un'area di lavoro deve disabilitare l'accesso di rete dalla rete Internet pubblica.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit, Deny o Disabled. Se impostato su Audit, è possibile creare un'area di lavoro con accesso pubblico e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un'area di lavoro che consenta l'accesso alla rete da Internet pubblico.
Le aree di lavoro devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento di rete
Controlla se un'area di lavoro deve abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento di rete. Questo criterio è utile se si vogliono mantenere i dati del piano di controllo di Azure Machine Learning all'interno delle reti private. Per altre informazioni, vedere Modifica dell'isolamento della rete con la nuova piattaforma API.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit o Deny o Disabled. Se impostato su Audit, è possibile creare un'area di lavoro senza abilitare V1LegacyMode e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un'area di lavoro a meno che non si abiliti V1LegacyMode.
Le aree di lavoro devono usare un collegamento privato
Controlla se un'area di lavoro deve usare collegamento privato di Azure per comunicare con Azure Rete virtuale. Per altre informazioni sull'uso del collegamento privato, vedere Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit o Deny. Se impostato su Audit, è possibile creare un'area di lavoro senza usare un collegamento privato e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un'area di lavoro a meno che non usi un collegamento privato. Il tentativo di creare un'area di lavoro senza un collegamento privato genera un errore. L'errore viene registrato anche nel log attività. L'identificatore dei criteri viene restituito come parte di questo errore.
Le aree di lavoro devono usare l'identità gestita assegnata dall'utente
Controlla se un'area di lavoro viene creata usando un'identità gestita assegnata dal sistema (impostazione predefinita) o un'identità gestita assegnata dall'utente. L'identità gestita per l'area di lavoro viene usata per accedere a risorse associate, ad esempio Archiviazione di Azure, Registro Azure Container, Azure Key Vault e app Azure lication Insights. Per altre informazioni, vedere Configurare l'autenticazione tra Azure Machine Learning e altri servizi.
Per configurare questo criterio, impostare il parametro dell'effetto su Audit, Deny o Disabled. Se impostato su Audit, è possibile creare un'area di lavoro senza specificare un'identità gestita assegnata dall'utente. Viene usata un'identità assegnata dal sistema e viene creato un evento di avviso nel log attività.
Se il criterio è impostato su Nega, non è possibile creare un'area di lavoro a meno che non si fornisca un'identità assegnata dall'utente durante il processo di creazione. Il tentativo di creare un'area di lavoro senza fornire un'identità assegnata dall'utente genera un errore. L'errore viene registrato anche nel log attività. L'identificatore dei criteri viene restituito come parte di questo errore.
Configurare i calcoli per modificare/disabilitare l'autenticazione locale
Questo criterio modifica qualsiasi richiesta di creazione del cluster di calcolo o dell'istanza di Azure Machine Learning per disabilitare l'autenticazione locale (SSH).
Per configurare questo criterio, impostare il parametro dell'effetto su Modify o Disabled. Se si imposta Modifica, qualsiasi creazione di un cluster di calcolo o di un'istanza all'interno dell'ambito in cui si applica il criterio avrà automaticamente l'autenticazione locale disabilitata.
Configurare l'area di lavoro per l'uso di zone DNS private
Questo criterio configura un'area di lavoro per l'uso di una zona DNS privata, sostituendo la risoluzione DNS predefinita per un endpoint privato.
Per configurare questo criterio, impostare il parametro dell'effetto su DeployIfNotExists. Impostare privateDnsZoneId sull'ID di Azure Resource Manager della zona DNS privata da usare.
Configurare le aree di lavoro per disabilitare l'accesso alla rete pubblica
Configura un'area di lavoro per disabilitare l'accesso alla rete da Internet pubblico. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È invece possibile accedere all'area di lavoro creando endpoint privati. Per altre informazioni, vedere Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning.
Per configurare questo criterio, impostare il parametro dell'effetto su Modify o Disabled. Se impostato su Modifica, qualsiasi creazione di un'area di lavoro all'interno dell'ambito in cui si applica il criterio avrà automaticamente l'accesso alla rete pubblica disabilitato.
Configurare le aree di lavoro con endpoint privati
Configura un'area di lavoro per creare un endpoint privato all'interno della subnet specificata di un Rete virtuale di Azure.
Per configurare questo criterio, impostare il parametro dell'effetto su DeployIfNotExists. Impostare privateEndpointSubnetID sull'ID di Azure Resource Manager della subnet.
Configurare le aree di lavoro di diagnostica per l'invio di log alle aree di lavoro log analytics
Configura le impostazioni di diagnostica per un'area di lavoro di Azure Machine Learning per inviare i log a un'area di lavoro Log Analytics.
Per configurare questo criterio, impostare il parametro dell'effetto su DeployIfNotExists o Disabled. Se impostato su DeployIfNotExists, il criterio crea un'impostazione di diagnostica per inviare i log a un'area di lavoro Log Analytics, se non esiste già.
I log delle risorse nelle aree di lavoro devono essere abilitati
Controlla se i log delle risorse sono abilitati per un'area di lavoro di Azure Machine Learning. I log delle risorse forniscono informazioni dettagliate sulle operazioni eseguite sulle risorse nell'area di lavoro.
Per configurare questo criterio, impostare il parametro dell'effetto su AuditIfNotExists o Disabled. Se impostato su AuditIfNotExists, i criteri controllano se i log delle risorse non sono abilitati per l'area di lavoro.
Contenuto correlato
- Documentazione di Criteri di Azure
- Criteri predefiniti per Azure Machine Learning
- Uso dei criteri di sicurezza con Microsoft Defender per il cloud
- Lo scenario di Cloud Adoption Framework per la gestione dei dati e l'analisi illustra le considerazioni relative all'esecuzione di carichi di lavoro di dati e analisi nel cloud
- Le zone di destinazione dei dati di Cloud Adoption Framework forniscono un'implementazione di riferimento per la gestione dei carichi di lavoro di dati e analisi in Azure
- Informazioni su come usare i criteri per integrare collegamento privato di Azure con le zone di Azure DNS privato