Wbudowane definicje zasad usługi Azure Policy dla usługi Azure Machine Edukacja
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Machine Edukacja. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Definicje zasad dla tych typowych przypadków użycia są już dostępne w środowisku platformy Azure w celu ułatwienia rozpoczęcia pracy. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie GitHub , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Wbudowane definicje zasad
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrożenia rejestru modeli usługi Azure Machine Edukacja są ograniczone z wyjątkiem dozwolonego rejestru | Wdróż tylko modele rejestru w dozwolonym rejestrze i które nie są ograniczone. | Odmów, Wyłączone | 1.0.0-preview |
| Wystąpienie obliczeniowe usługi Azure Machine Edukacja powinno zostać zamknięte bezczynnie. | Posiadanie harmonogramu zamknięcia bezczynności zmniejsza koszt, zamykając obliczenia bezczynne po wstępnie określonym okresie działania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aby uzyskać najnowsze aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe usługi Azure Machine Edukacja | Upewnij się, że usługa Azure Machine Edukacja wystąpienia obliczeniowe działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane i ograniczane przez uruchomienie najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, zobacz https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Usługa Azure Machine Edukacja Computes powinna znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację dla maszyny azure Edukacja klastrów obliczeniowych i wystąpień, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Azure Machine Edukacja Computes powinna mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Machine Edukacja Computes wymaga tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Edukacja przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.3 |
| Usługa Azure Machine Edukacja Workspaces powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze Edukacja maszyny nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny umożliwić trybowi V1LegacyMode obsługę zgodności z poprzednimi wersjami izolacji sieci | Usługa Azure ML wykonuje przejście na nową platformę interfejsu API w wersji 2 w usłudze Azure Resource Manager i można kontrolować wersję platformy interfejsu API przy użyciu parametru V1LegacyMode. Włączenie parametru V1LegacyMode umożliwi zachowanie obszarów roboczych w tej samej izolacji sieciowej co wersja 1, chociaż nie będziesz korzystać z nowych funkcji w wersji 2. Zalecamy włączenie trybu starszego w wersji 1 tylko wtedy, gdy chcesz przechowywać dane płaszczyzny sterowania AzureML wewnątrz sieci prywatnych. Dowiedz się więcej na stronie: https://aka.ms/V1LegacyMode. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać tożsamości zarządzanej przypisanej przez użytkownika | Dostęp manange do obszaru roboczego usługi Azure ML i skojarzonych zasobów, usługi Azure Container Registry, usługi KeyVault, usługi Storage i Szczegółowe informacje aplikacji przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Domyślnie tożsamość zarządzana przypisana przez system jest używana przez obszar roboczy usługi Azure ML do uzyskiwania dostępu do skojarzonych zasobów. Tożsamość zarządzana przypisana przez użytkownika umożliwia utworzenie tożsamości jako zasobu platformy Azure i utrzymanie cyklu życia tej tożsamości. Dowiedz się więcej na https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Machine Edukacja Computes w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz metody uwierzytelniania lokalizacji, aby usługa Machine Edukacja Computes wymagała wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Modyfikowanie, wyłączone | 2.1.0 |
| Konfigurowanie obszaru roboczego usługi Azure Machine Edukacja do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania obszarów roboczych usługi Azure Machine Edukacja. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Edukacja w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszarów roboczych usługi Azure Machine Edukacja, aby obszary robocze nie były dostępne za pośrednictwem publicznego Internetu. Pomaga to chronić obszary robocze przed ryzykiem wycieku danych. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modyfikowanie, wyłączone | 1.0.3 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Edukacja z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na obszar roboczy usługi Azure Machine Edukacja, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla obszarów roboczych usługi Azure Machine Edukacja do obszaru roboczego usługi Log Analytics | Wdraża ustawienia diagnostyczne dla obszarów roboczych usługi Azure Machine Edukacja w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnym obszarze roboczym usługi Azure Machine Edukacja brakuje tych ustawień diagnostycznych, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 1.0.1 |
| Dzienniki zasobów w obszarze roboczym usługi Azure Machine Edukacja powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists, Disabled | 1.0.1 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.