Definições de políticas internas do Azure Policy para o Azure Machine Learning.
Esta página é um índice de definições de políticas internas do Azure Policy para o Azure Machine Learning. Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. As definições de política para esses casos de uso comuns já estão disponíveis em seu ambiente do Azure como itens interno para ajudar você a começar a usar. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna GitHub para ver a origem no repositório GitHub do Azure Policy.
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: as implantações do Azure Machine Learning devem usar apenas Modelos de Registro aprovados | Restringir a implantação de modelos de Registro para controlar modelos criados externamente usados em sua organização | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: As implantações do Registro de Modelo do Azure Machine Learning são restritas, exceto pelo Registro permitido | Implante apenas Modelos de Registro no Registro permitido e que não sejam restritos. | Deny, Desabilitado | 1.0.0 – versão prévia |
A instância de Computação do Azure Machine Learning deve ter desligamento por ociosidade. | O agendamento do desligamento por ociosidade reduz o custo desligando computações ociosas após um período de atividade pré-determinado. | Audit, Deny, desabilitado | 1.0.0 |
As instâncias de computação do Azure Machine Learning devem ser recriadas nobter as atualizações de software mais recentes | Certifique-se de que as instâncias de computação do Azure Machine Learning sejam executadas no sistema operacional mais recente disponível. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Os Computadores do Azure Machine Learning devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada a partir de máquinas e aplicativos virtuais dentro da rede virtual. | Audit, desabilitado | 1.0.1 |
Os Computadores do Azure Machine Learning devem ter os métodos de autenticação local desabilitados | A desativação dos métodos de autenticação local melhora a segurança, garantindo que os Computadores do Machine Learning exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, desabilitado | 2.1.0 |
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.1.0 |
Os Workspaces do Azure Machine Learning devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública aumenta a segurança, garantindo que os Workspaces do Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, desabilitado | 2.0.1 |
Os espaços de trabalho do Azure Machine Learning devem habilitar o V1LegacyMode para suportar a compatibilidade com versões anteriores de isolamento de rede | O Azure ML está fazendo uma transição para uma nova plataforma de API V2 no Azure Resource Manager e você pode controlar a versão da plataforma de API usando o parâmetro V1LegacyMode. Habilitar o parâmetro V1LegacyMode permitirá que você mantenha seus workspaces no mesmo isolamento de rede que v1, embora você não tenha o uso dos novos recursos V2. Recomendamos ativar o Modo Herdado V1 somente quando você quiser manter os dados do plano de controle do AzureML dentro de suas redes privadas. Saiba mais em: https://aka.ms/V1LegacyMode. | Audit, Deny, desabilitado | 1.0.0 |
Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
Os workspaces do Azure Machine Learning deverão usar uma identidade gerenciada e atribuída pelo usuário | Gerencie o acesso ao workspace do Azure ML e aos recursos associados, ao Registro de Contêiner do Azure, ao Key Vault, ao Armazenamento e ao App Insights usando uma identidade gerenciada e atribuída pelo usuário. Por padrão, uma identidade gerenciada e atribuída pelo sistema será usada pelo workspace do Azure ML para acessar recursos associados. A identidade gerenciada e atribuída pelo usuário permite criar uma identidade como um recurso do Azure, bem como e manter o ciclo de vida dela. Saiba mais em https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, desabilitado | 1.0.0 |
Configure os Computadores do Azure Machine Learning para desabilitar os métodos de autenticação local | Desabilite os métodos de autenticação de local para que seus Computadores de Machine Learning exijam identidades do Microsoft Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Modificar, Desabilitado | 2.1.0 |
Configurar um workspace do Azure Machine Learning para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desabilitado | 1.1.0 |
Configure os Workspaces do Azure Machine Learning para desativar o acesso à rede pública | Desabilite o acesso à rede pública nos Workspaces do Azure Machine Learning para que seus espaços de trabalho não sejam acessíveis pela Internet pública. Isso ajuda a proteger os espaços de trabalho contra riscos de vazamento de dados. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Modificar, Desabilitado | 1.0.3 |
Configurar workspaces do Azure Machine Learning usando pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Ao mapear pontos de extremidade privados para seu workspace do Azure Machine Learning, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, desabilitado | 1.0.0 |
Configure as definições de diagnóstico dos Workspaces do Azure Machine Learning no Workspace do Log Analytics | Implanta as configurações de diagnóstico para que os Workspaces do Azure Machine Learning transmitam logs de recursos para um Workspace do Log Analytics quando qualquer Workspace do Azure Machine Learning que não tenha essas configurações de diagnóstico for criado ou atualizado. | DeployIfNotExists, desabilitado | 1.0.1 |
Os logs de recursos nos Workspaces do Azure Machine Learning devem estar habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desabilitado | 1.0.1 |
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.