Condividi tramite


Criteri di Azure definizioni di criteri predefiniti per Azure Machine Learning

Questa pagina è un indice di Criteri di Azure definizioni di criteri predefiniti per Azure Machine Learning. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Le definizioni dei criteri per questi casi d'uso comuni sono già disponibili nell'ambiente Azure come predefinite per iniziare facilmente a usare il servizio. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.

Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna GitHub per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Definizioni di criteri predefiniti

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Le distribuzioni di Azure Machine Learning devono usare solo modelli di Registro di sistema approvati Limitare la distribuzione dei modelli del Registro di sistema per controllare i modelli creati esternamente usati all'interno dell'organizzazione Audit, Deny, Disabled 1.0.0-preview
[Anteprima]: Le distribuzioni del Registro modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito Distribuire solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. Deny, Disabled 1.0.0-preview
L'istanza di calcolo dell’ambiente di calcolo di Machine Learning di Azure deve avere un arresto per inattività.. La pianificazione di un per inattività riduce i costi arrestando le risorse di calcolo inattive dopo un periodo di attività prestabilito. Audit, Deny, Disabled 1.0.0
È necessario ricreare le istanza di ambiente di calcolo di Azure Machine Learning per ottenere gli aggiornamenti software più recenti Verificare che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Gli ambienti di calcolo di Azure Machine Learning devono essere in una rete virtuale Le reti virtuali di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. Audit, Disabled 1.0.1
Gli ambienti di calcolo di Machine Learning devono avere i metodi di autenticazione locale disabilitati La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che Machine Learning Computes richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 2.1.0
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente Gestire la crittografia inattiva dei dati dello spazio di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Audit, Deny, Disabled 2.0.1
Le aree di lavoro di Azure Machine Learning devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento rete Azure ML sta effettuando una transizione a una nuova piattaforma API V2 in Azure Resource Manager ed è possibile controllare la versione della piattaforma API usando il parametro V1LegacyMode. L'abilitazione del parametro V1LegacyMode consentirà di mantenere le aree di lavoro nello stesso isolamento di rete della versione 1, anche se non si avranno a disposizione le nuove funzionalità V2. È consigliabile attivare la modalità legacy V1 solo quando si desidera mantenere i dati del piano di controllo AzureML all'interno delle reti private. Per altre informazioni, vedere https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Le aree di lavoro di Azure Machine Learning devono usare un'identità gestita assegnata dall'utente Accesso manange all'area di lavoro di Azure ML e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata dall'area di lavoro di Azure ML per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa di Azure e di mantenere il ciclo di vita di tale identità. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Configurare i calcoli di Machine Learning per disabilitare i metodi di autenticazione locale Disabilitare i metodi di autenticazione della posizione in modo che i computer di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. Modifica, disattivato 2.1.0
Configurare l'area di lavoro di Azure Machine Learning per usare zone private DNS È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Configurare le aree di lavoro di Azure Machine Learning per disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per le aree di lavoro di Azure Machine Learning in modo che le aree di lavoro non siano accessibili tramite La rete Internet pubblica. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Modifica, disattivato 1.0.3
Configurare le aree di lavoro di Azure Machine Learning con endpoint privati Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati all'area di lavoro di Azure Machine Learning, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning nell'area di lavoro Log Analytics Consente di distribuire le impostazioni di diagnostica per le Aree di lavoro di Azure Machine Learning per trasmettere i log delle risorse a un'Area di lavoro Log Analytics quando viene creata o aggiornata un'Area di lavoro di Azure Machine Learning in cui manca questa impostazione di diagnostica. DeployIfNotExists, Disabled 1.0.1
I log delle risorse nell'area di lavoro di Azure Machine Learning devono essere abilitati I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. AuditIfNotExists, Disabled 1.0.1

Passaggi successivi