Criteri di Azure definizioni di criteri predefiniti per Azure Machine Learning
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefiniti per Azure Machine Learning. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Le definizioni dei criteri per questi casi d'uso comuni sono già disponibili nell'ambiente Azure come predefinite per iniziare facilmente a usare il servizio. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna GitHub per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Definizioni di criteri predefiniti
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le distribuzioni del Registro modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuisci solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | Deny, Disabled | 1.0.0-preview |
| L'istanza di calcolo di Azure Machine Learning deve avere un arresto inattiva. | La pianificazione di arresto inattivo riduce i costi arrestando i calcoli inattive dopo un periodo di attività predeterminato. | Audit, Deny, Disabled | 1.0.0 |
| È necessario ricreare le istanza di ambiente di calcolo di Azure Machine Learning per ottenere gli aggiornamenti software più recenti | Verificare che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Gli ambienti di calcolo di Azure Machine Learning devono essere in una rete virtuale | I Rete virtuale di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Audit, Disabled | 1.0.1 |
| Gli ambienti di calcolo di Machine Learning devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i calcoli di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Le aree di lavoro di Azure Machine Learning devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento di rete | Azure ML sta effettuando una transizione a una nuova piattaforma API V2 in Azure Resource Manager ed è possibile controllare la versione della piattaforma API usando il parametro V1LegacyMode. L'abilitazione del parametro V1LegacyMode consentirà di mantenere le aree di lavoro nello stesso isolamento di rete della versione 1, anche se non si avranno a disposizione le nuove funzionalità V2. È consigliabile attivare la modalità legacy V1 solo quando si desidera mantenere i dati del piano di controllo AzureML all'interno delle reti private. Per altre informazioni, vedere https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare l'identità gestita assegnata dall'utente | Accesso manange all'area di lavoro di Azure ML e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata dall'area di lavoro di Azure ML per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa di Azure e di mantenere il ciclo di vita di tale identità. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Configurare i calcoli di Azure Machine Learning per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che i computer di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Modifica, Disabilitata | 2.1.0 |
| Configurare l'area di lavoro di Azure Machine Learning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Azure Machine Learning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le aree di lavoro di Azure Machine Learning in modo che le aree di lavoro non siano accessibili tramite La rete Internet pubblica. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modifica, Disabilitata | 1.0.3 |
| Configurare le aree di lavoro di Azure Machine Learning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati all'area di lavoro di Azure Machine Learning, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando un'area di lavoro di Azure Machine Learning mancante è stata creata o aggiornata. | DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse nell'area di lavoro di Azure Machine Learning devono essere abilitati | I log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.