Ingebouwde Azure Policy-beleidsdefinities voor Azure Machine Learning
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Machine Learning. Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer. Beleidsdefinities voor deze veelvoorkomende use-cases zijn al ingebouwd in uw Azure-omgeving om u op weg te helpen. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de GitHub-kolom om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Voorbeelden van ingebouwde beleidsdefinities
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Registerimplementaties van Azure Machine Learning-modellen zijn beperkt, met uitzondering van het toegestane register | Implementeer alleen registermodellen in het toegestane register en die niet zijn beperkt. | Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure Machine Learning Compute Instance moet inactief zijn afgesloten. | Als u een inactiviteitsschema hebt, vermindert u de kosten door berekeningen af te sluiten die niet actief zijn na een vooraf bepaalde periode van activiteit. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning-rekeninstanties moeten opnieuw worden gemaakt om de nieuwste software-updates op te halen | Zorg ervoor dat Azure Machine Learning-rekeninstanties worden uitgevoerd op het meest recente beschikbare besturingssysteem. Beveiliging wordt verbeterd en beveiligingsproblemen worden verminderd door te worden uitgevoerd met de nieuwste beveiligingspatches. U vindt meer informatie op https://aka.ms/azureml-ci-updates/. | [parameters('effecten')] | 1.0.3 |
| Azure Machine Learning Computes moet zich in een virtueel netwerk bevinden | Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning Compute-clusters en -exemplaren, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een berekening is geconfigureerd met een virtueel netwerk, is het niet openbaar adresseerbaar en kan deze alleen worden geopend vanuit virtuele machines en toepassingen binnen het virtuele netwerk. | Controle, uitgeschakeld | 1.0.1 |
| Azure Machine Learning Computes moet lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Voor Machine Learning Computes uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure Machine Learning-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Machine Learning-werkruimten niet beschikbaar zijn op het openbare internet. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Azure Machine Learning-werkruimten moeten V1LegacyMode inschakelen om achterwaartse compatibiliteit met netwerkisolatie te ondersteunen | Azure ML maakt een overgang naar een nieuw V2 API-platform in Azure Resource Manager en u kunt de VERSIE van het API-platform beheren met behulp van de parameter V1LegacyMode. Als u de parameter V1LegacyMode inschakelt, kunt u uw werkruimten in dezelfde netwerkisolatie houden als V1, maar u hebt geen gebruik van de nieuwe V2-functies. Het is raadzaam om de verouderde V1-modus alleen in te schakelen wanneer u de gegevens van het AzureML-besturingsvlak in uw privénetwerken wilt bewaren. Zie voor meer informatie: https://aka.ms/V1LegacyMode. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten een door de gebruiker toegewezen beheerde identiteit gebruiken | Toegang tot de Azure ML-werkruimte en bijbehorende resources, Azure Container Registry, KeyVault, Storage en App Insights met behulp van door de gebruiker toegewezen beheerde identiteit. Standaard wordt door het systeem toegewezen beheerde identiteit door de Azure ML-werkruimte gebruikt voor toegang tot de gekoppelde resources. Door de gebruiker toegewezen beheerde identiteit kunt u de identiteit maken als een Azure-resource en de levenscyclus van die identiteit onderhouden. Meer informatie op https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning Computes configureren om lokale verificatiemethoden uit te schakelen | Schakel locatieverificatiemethoden uit, zodat voor uw Machine Learning Computes uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Wijzigen, uitgeschakeld | 2.1.0 |
| Azure Machine Learning-werkruimte configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Machine Learning-werkruimten. Zie voor meer informatie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Azure Machine Learning-werkruimten configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor Azure Machine Learning-werkruimten uit, zodat uw werkruimten niet toegankelijk zijn via het openbare internet. Dit helpt de werkruimten te beschermen tegen risico's van gegevenslekken. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Wijzigen, uitgeschakeld | 1.0.3 |
| Azure Machine Learning-werkruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Machine Learning-werkruimte, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Azure Machine Learning-werkruimten naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Machine Learning-werkruimten geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een Azure Machine Learning-werkruimte waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Resourcelogboeken in Azure Machine Learning-werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.