此頁面是 Azure 機器學習 Azure 原則 內建原則定義的索引。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 這些常見使用案例的原則定義已內建在您的 Azure 環境中,可協助您開始進行作業。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 GitHub 資料行中的連結來檢視 Azure 原則 GitHub 存放庫上的來源。
內建原則定義
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure 機器學習 部署應該只使用已核准的登錄模型 | 限制登錄模型的部署,以控制組織內使用的外部建立模型 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:Azure Machine Learning 模型登錄部署受限,但允許的登錄除外 | 只在允許的登錄中部署登錄模型,且不受限制。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
| Azure Machine Learning 和 Ai Studio 應該使用 [僅允許核准的外部受控 Vnet 模式] | 使用內建的工作區層級 Azure Machine Learning 受控 VNet,受控 VNet 隔離可簡化並自動化您的網路隔離設定。 受控 VNet 可保護您的受控 Azure Machine Learning 資源,例如計算實例、計算叢集、無伺服器計算及受控線上端點。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Machine Learning Compute 執行個體應有閒置關機。 | 閒置關機排程可在預先決定活動期間後的閒置階段關閉計算,來降低成本。 | 稽核、拒絕、停用 | 1.0.0 |
| 應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [參數('effects')] | 1.0.3 |
| Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | 稽核、已停用 | 1.0.1 |
| Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning 計算要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 稽核、拒絕、停用 | 2.1.0 |
| 應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | 稽核、拒絕、停用 | 1.1.0 |
| 應使用客戶管理的金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | AuditIfNotExists,已停用 | 1.0.0 |
| Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | 稽核、拒絕、停用 | 2.0.1 |
| Azure Machine Learning 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 | Azure ML 正在 Azure Resource Manager 上轉換至新的 V2 API 平台,您可以使用 V1LegacyMode 參數來控制 API 平台版本。 啟用 V1LegacyMode 參數可讓您將工作區保持在與 V1 相同的網路隔離中,但您將無法使用新的 V2 功能。 建議您在需要將 AzureML 控制平面資料保留在私人網路內時,才開啟 V1 傳統模式。 深入了解:https://aka.ms/V1LegacyMode。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | 稽核、已停用 | 1.0.0 |
| Azure Machine Learning 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別,管理 Azure ML 工作區的存取權,以及相關聯的資源、Azure Container Registry、KeyVault、儲存體和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關資源。 使用者指派的受控識別可讓您建立身分識別做為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | 稽核、拒絕、停用 | 1.0.0 |
| 設定 Azure Machine Learning 計算以停用本機驗證方法 | 停用位置驗證方法,讓您的 Machine Learning 計算要求 Azure Active Directory 識別以獨佔方式來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 修改、停用 | 2.1.0 |
| 設定 Azure Machine Learning 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure Machine Learning 工作區進行解析。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists,已停用 | 1.1.0 |
| 設定 Azure Machine Learning 工作區以停用公用網路存取 | 停用 Azure Machine Learning 工作區的公用網路存取,讓您的工作區無法透過公用網際網路存取。 這有助於保護工作區免於遭受資料洩漏的風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | 修改、停用 | 1.0.3 |
| 使用私人端點設定 Azure Machine Learning 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Machine Learning 工作區,您可以降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists,已停用 | 1.0.0 |
| 將 Azure Machine Learning 工作區的診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 Azure Machine Learning 工作區時,請將 Azure Machine Learning 工作區的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 | DeployIfNotExists,已停用 | 1.0.1 |
| 應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists,已停用 | 1.0.1 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。