Встроенные определения политик в Политике Azure для машинного обучения Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для машинного обучения Azure. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Определения политик для этих распространенных вариантов использования уже встроены в среду Azure, что облегчает работу. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце GitHub, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Встроенные определения политик
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: развертывание реестра моделей Машинное обучение Azure ограничено, за исключением разрешенного реестра | Развертывание только моделей реестра в разрешенном реестре и не ограничено. | Deny, Disabled | 1.0.0 (предварительная версия) |
| Экземпляр Вычислительной среды Машинного обучения Azure должен завершать работу в режиме простоя. | Расписание завершения работы в режиме простоя позволяет сократить затраты за счет завершения работы вычислений, находящихся в режиме простоя после заранее определенного периода действия. | Audit, Deny, Disabled | 1.0.0 |
| Машинное обучение Azure вычислительных экземпляров необходимо повторно создать, чтобы получить последние обновления программного обеспечения | Убедитесь, что Машинное обучение Azure вычислительные экземпляры выполняются в последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Машинное обучение Azure вычисления должны находиться в виртуальной сети. | Azure виртуальная сеть обеспечивают повышенную безопасность и изоляцию для Машинное обучение Azure вычислительных кластеров и экземпляров, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. | Audit, Disabled | 1.0.1 |
| Машинное обучение Azure вычисления должны иметь локальные методы проверки подлинности отключены | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Машинное обучение вычисления требуют удостоверения Azure Active Directory исключительно для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Машинное обучение Azure рабочие области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Машинное обучение рабочие области не предоставляются в общедоступном Интернете. Вместо этого можно управлять воздействием рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Рабочие области машинного обучения Azure должны включить V1LegacyMode для поддержки обратной совместимости сетевой изоляции | Служба "Машинное обучение Azure" переводится на новую платформу API версии 2 в Azure Resource Manager, и вы можете управлять версией платформы API с помощью параметра V1LegacyMode. Включение параметра V1LegacyMode позволит сохранить рабочие области в сетевой изоляции версии 1, хотя вы не сможете использовать новые функции версии 2. Мы рекомендуем включать устаревший режим версии 1 только в том случае, если нужно сохранить данные уровня управления AzureML в частных сетях. См. дополнительные сведения: https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать назначаемое пользователем управляемое удостоверение | Обеспечьте управление доступом к рабочей области Машинного обучения Azure и связанными ресурсами, Реестром контейнеров Azure, KeyVault, службой хранилища и App Insights с помощью назначаемого пользователем управляемого удостоверения. По умолчанию рабочая область Машинного обучения Azure для доступа к связанным ресурсам использует назначаемое системой управляемое удостоверение. Назначаемое пользователем управляемое удостоверение позволяет создать удостоверение в виде ресурса Azure и поддерживать его жизненный цикл. Узнайте больше по адресу https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Настройка вычислений Машинное обучение Azure для отключения локальных методов проверки подлинности | Отключите методы проверки подлинности расположения, чтобы Машинное обучение вычисления требовали удостоверения Azure Active Directory исключительно для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. | Modify, Disabled | 2.1.0 |
| Настройка рабочей области машинного обучения Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в рабочие области Машинного обучения Azure. См. дополнительные сведения: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка рабочих областей Машинное обучение Azure для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для рабочих областей Машинное обучение Azure, чтобы рабочие области не были доступны через общедоступный Интернет. Это помогает защитить рабочие области от рисков утечки данных. Вместо этого можно управлять воздействием рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modify, Disabled | 1.0.3 |
| Настройка частных конечных точек для рабочих областей Машинного обучения Azure | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с рабочей областью Машинного обучения Azure, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка параметров диагностики для рабочих областей Машинное обучение Azure в рабочей области Log Analytics | Развертывает параметры диагностики для рабочих областей Машинное обучение Azure для потоковой передачи журналов ресурсов в рабочую область Log Analytics при создании или обновлении любой Машинное обучение Azure рабочей области, в которой отсутствуют эти параметры диагностики. | DeployIfNotExists, Disabled | 1.0.1 |
| Журналы ресурсов в рабочих областях Машинное обучение Azure должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.1 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.