使用原則，規範模型目錄中的部署

Azure Machine Learning 工作室的模型目錄，提供許多開放原始碼基礎模型的存取權，因此強制執行組織標準，以規範模型的部署，對於遵守安全性和合規性需求至關重要。 本文帶您瞭解如何使用內建 Azure 原則，限制模型目錄中的部署。

Azure 原則是治理工具，讓使用者能夠稽核、執行即時強制執行，以及大規模管理其 Azure 環境。 如需詳細資訊，請參閱 Azure 原則服務概觀。

使用案例範例：

• 您想強制執行組織安全性原則，但沒有自動化且可靠的方法。
• 您想要放寬測試小組的一些需求，但仍想要對生產環境維持嚴格的控管。 您需要簡單的自動化方式來區隔資源的強制執行作業。

適用於 Azure Machine Learning 登錄模型部署的 Azure 原則

使用 Azure Machine Learning 內建原則進行登錄模型部署（預覽版），可以拒絕所有登錄部署，或允許特定登錄的模型部署。 您也可以新增選用的模型封鎖清單，並將例外狀況加入允許的登錄內部的清單。

這個內建原則只支援 Deny 效果。

Deny: 將原則的效果設定為拒絕後，該原則會阻擋從 Azure Machine Learning 登錄建立不符原則定義的新部署，並​​在活動記錄中產生事件。 現有不合規的部署不受影響。

使用基礎登錄的使用者，可以使用模型目錄集合。 您可以在模型資產 ID 中，找到基礎登錄名稱。

建立原則指派

1. 在 Azure 首頁的搜尋列中輸入原則，然後選取 Azure 原則圖示。

2. 在 Azure 原則服務的 [撰寫] 下方，選取 [指派]。

3. 在指派頁面上，選取頂端的指派原則圖示。

4. 在 [指派原則] 頁面的 [基本] 索引標籤上，更新下列欄位：

   1. 範圍：選取原則適用的 Azure 訂用帳戶和資源群組。
   2. 排除：從範圍中選取要從原則指派中排除的任何資源。
   3. 原則定義：選取要套用於排除範圍的原則定義。 在搜尋列中輸入「Azure Machine Learning」，然後找到 [預覽] Azure Machine Learning 登錄部署受到限制，除了允許的登錄之外」原則。 選取原則，然後選取新增。

5. 選取參數索引標籤，然後更新效果和原則指派參數。 請務必取消選取「只顯示需要輸入或檢閱的參數」，這樣才會顯示所有參數。 若要進一步瞭解參數的功能，請將滑鼠停留在參數名稱旁邊的資訊圖示上。

   

   如果在原則指派期間，未於 Restricted Model AssetIds 參數中設定模型資產 ID，這個原則只允許部署 Allowed Registry Name 參數所指定模型登錄的所有模型。

6. 選取檢閱 + 建立，完成原則指派。 原則指派大約需要 15 分鐘，新資源才會生效。

停用原則

您可以依照以下步驟，移除 Azure 入口網站中的原則指派：

1. 瀏覽至 Azure 入口網站上的 [原則] 窗格。
2. 選取 [指派]。
3. 選取原則指派旁邊的 ... 按鈕，然後選取刪除指派。

限制

• 原則中的任何變更（包括更新原則定義、指派、豁免或原則集合），需要 10 分鐘才能在評估流程中生效。
• 系統會針對新建立和更新的部署回報合規性。 在公開預覽期間，合規性記錄會保留 24 小時。 在指派這些原則定義之前就存在的模型部署，將不會回報合規性。 您也無法針對在設定原則定義和指派之前就存在的部署，觸發評估。
• 您不能在一個原則指派中，將多個登錄加入允許清單。

後續步驟

• 了解如何取得合規性資料。
• 瞭解如何以程式設計方式建立原則。