Azure Policy 提供內建政策定義,幫助您管理 AI 模型在 Managed Foundry Tools(標準部署)及 Model-as-a-Platform (MaaP) 中的部署。 您可以使用這些原則來控制開發人員可以部署的模型。
先決條件
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
- 建立和指派原則的權限。 若要建立和指派原則,您必須是 Azure 訂用帳戶或資源群組層級的擁有者或資源原則參與者。
- 熟悉 Azure 原則。 若要深入了解,請參閱什麼是 Azure 原則? (部分機器或 AI 翻譯)。
啟用原則
從 Azure 入口網站,選取頁面左側的 [原則]。 您也可以在頁面頂端的搜尋列中搜尋 [原則]。
從 [Azure 原則儀表板] 左側,選取 [撰寫]、[指派],然後從頁面頂端選取 [指派原則]。
在 [原則指派] 表單中,使用下列值:
- 範圍:選取您要指派原則的範圍。 範圍可以是管理群組、訂用帳戶或資源群組。
- 原則定義:選取省略號 (...) 並搜尋 [AI 模型部署允許的模型]。 從清單中選取原則定義。 例如,在標準部署和 MaaP 中 AI 模型部署允許的模型。
- 指派名稱:輸入指派的唯一名稱。
其餘欄位可保留為其預設值,也可視組織需求自訂。
選取頁面底部的 [下一步],或頁面頂端的 [參數] 索引標籤。
在 [參數] 索引標籤中,使用下列欄位:
允許的模型:此欄位需要 模型識別碼字串,並以逗號分隔。 若要取得模型識別碼字串,請使用下列步驟:
移至您工作區的 Azure Machine Learning 模型目錄。
附註
您必須有 Azure Machine Learning 工作區才能存取模型目錄。
針對您想要允許的每個模型,選取該模型以檢視詳細資料。 在模型詳細資料資訊中,複製 [模型識別碼] 值。 例如,值看起來可能像
azureml://registries/azure-openai/models/gpt-35-turbo/versions/3。重要事項
模型識別碼的值必須與該模型的完全相符。 如果模型識別碼不完全相符,則不會允許該模型。
或者,選取頁面頂端的 [不符合規範訊息] 索引標籤,並針對不符合規範設定自訂訊息。
選取 [檢閱 + 建立] 索引標籤,並確認原則指派正確無誤。 準備就緒時,選取 [建立] 以指派原則。
通知開發人員原則已就緒。 如果他們嘗試部署不在允許模型清單中的模型,便會收到錯誤訊息。
監視合規性
若要監視原則的合規性,請遵循下列步驟:
- 從 Azure 入口網站,選取頁面左側的 [原則]。 您也可以在頁面頂端的搜尋列中搜尋 [原則]。
- 從 Azure 原則儀表板的左側,選取 [合規性]。 每個原則指派都會列出合規性狀態。 若要檢視更多詳細資料,請選取原則指派。
更新原則指派
若要使用新模型來更新現有原則指派,請遵循下列步驟:
- 從 Azure 入口網站,選取頁面左側的 [原則]。 您也可以在頁面頂端的搜尋列中搜尋 [原則]。
- 從 Azure 原則儀表板的左側,選取 [指派],然後尋找現有的原則指派。 選取指派旁邊的省略符號 (...),然後選取 [編輯指派]。
- 從 [參數] 索引標籤,使用新的模型識別碼來更新 [允許的模型] 參數。
- 從 [檢閱 + 儲存] 索引標籤,選取 [儲存] 以更新原則指派。
最佳作法
- 細微範圍界定:在適當的範圍指派原則,使控制與彈性達到平衡。 例如,在訂用帳戶層級套用以控制訂用帳戶中的所有資源,或在資源群組層級套用以控制特定群組中的資源。
- 原則命名:對原則指派使用一致的命名慣例,可讓您更輕鬆地識別原則的用途。 在名稱中包含目的和範圍等資訊。
- 文件:保留原則指派和設定的記錄,以供稽核之用。 記錄一段時間對原則所做的任何變更。
- 定期檢閱:定期檢閱原則指派,確保它們符合貴組織的需求。
- 測試:在將原則套用至實際執行資源之前,先在非商業執行環境中測試原則。
- 通訊:確定開發人員很清楚備妥的原則,並理解其工作的影響。