共用方式為

稽核與管理 Azure Machine Learning

  • 發行項

當小組在 Azure 機器學習 上共同作業時,他們可能會面臨設定及組織資源的不同需求。 機器學習小組可能會尋找如何組織工作區以進行共同作業的彈性,或如何調整計算叢集的大小,以符合其使用案例的需求。 在這些案例中,如果應用程式小組可以管理自己的基礎結構,生產力可能會受益。

身為平台管理員,您可以使用原則來佈置護欄,讓小組能夠管理自己的資源。 Azure 原則有助於稽核和管控資源狀態。 本文說明如何使用 Azure 機器學習 的稽核控件和治理做法。

Azure Machine Learning 的原則

Azure 原則是一種管理工具,可協助確保 Azure 資源遵循您的原則。

Azure 原則 提供一組原則,您可以搭配 Azure 機器學習 用於常見案例。 您可以將這些原則定義指派給現有的訂用帳戶,或使用這些原則作為基礎來建立您自己的自訂定義。

下表列出您可以使用 Azure 機器學習 指派的內建原則。 如需所有 Azure 內建原則的清單,請參閱 內建原則

名稱
(Azure 入口網站)		 描述 效果 版本
(GitHub)
[預覽]:Azure 機器學習 模型登錄部署受限,但允許的登錄除外 只在允許的登錄中部署登錄模型,且不受限制。 稽核, 拒絕, 停用 1.0.0-preview
Azure 機器學習 計算實例應該有閑置關機。 閑置關機排程可藉由關閉在預先決定的活動期間之後閑置的計算來降低成本。 Audit, Deny, Disabled 1.0.0
應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/ [parameters('effects')] 1.0.3
Azure Machine Learning Compute 應位於虛擬網路中 Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 Audit, Disabled 1.0.1
Azure Machine Learning Compute 應已停用本機驗證方法 停用本機驗證方法,藉由確保 Machine Learning Compute 要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy Audit, Deny, Disabled 2.1.0
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk Audit, Deny, Disabled 1.0.3
Azure Machine Learning 工作區應停用公用網路存取 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal Audit, Deny, Disabled 2.0.1
Azure 機器學習 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 Azure ML 正在轉換至 Azure Resource Manager 上的新 V2 API 平臺,而且您可以使用 V1LegacyMode 參數控制 API 平臺版本。 啟用 V1LegacyMode 參數可讓您讓工作區保持與 V1 相同的網路隔離,不過您不會使用新的 V2 功能。 只有在您想要將 AzureML 控制平面數據保留在專用網內時,才建議開啟 V1 舊版模式。 深入了解:https://aka.ms/V1LegacyMode Audit, Deny, Disabled 1.0.0
Azure Machine Learning 工作區應使用私人連結 Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit, Disabled 1.0.0
Azure 機器學習 工作區應使用使用者指派的受控識別 使用使用者指派的受控識別來管理對 Azure ML 工作區和相關聯資源的存取、Azure Container Registry、KeyVault、儲存體 和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關聯的資源。 使用者指派的受控識別可讓您建立身分識別作為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python Audit, Deny, Disabled 1.0.0
設定 Azure 機器學習 計算來停用本機驗證方法 停用位置驗證方法,讓您的 機器學習 計算需要專用的 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy 修改、停用 2.1.0
設定 Azure 機器學習 工作區以使用私人 DNS 區域 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至 Azure 機器學習 工作區。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview DeployIfNotExists, Disabled 1.1.0
設定 Azure 機器學習 工作區以停用公用網路存取 停用 Azure 機器學習 工作區的公用網路存取,讓您的工作區無法透過公用因特網存取。 這有助於保護工作區免於數據外泄風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal 修改、停用 1.0.3
使用私人端點設定 Azure 機器學習 工作區 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 機器學習 工作區,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link DeployIfNotExists, Disabled 1.0.0
將 Azure 機器學習 工作區的診斷設定設定設定為 Log Analytics 工作區 部署 Azure 機器學習 工作區的診斷設定,以在建立或更新遺漏此診斷設定的任何 Azure 機器學習 工作區時,將資源記錄串流至 Log Analytics 工作區。 DeployIfNotExists, Disabled 1.0.1
應啟用 Azure Machine Learning 工作區中的資源記錄 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 AuditIfNotExists, Disabled 1.0.1

您可以在不同範圍 (例如訂用帳戶或資源群組層級) 上設定原則。 如需詳細資訊,請參閱 Azure 原則文件

指派內建原則

若要檢視與 Azure Machine Learning 相關的內建原則定義,請使用下列步驟:

  1. 移至 Azure 入口網站中的 Azure 原則
  2. 選取 [定義]
  3. 針對 [ 類型],選取 [ 建]。 針對 [類別],選取 [機器學習]。

您可以從這裡選取原則定義來加以檢視。 在檢視定義時,您可以使用指派連結將原則指派給特定範圍,並設定原則的參數。 如需詳細資訊,請參閱建立原則指派,以使用 Azure 入口網站 識別不符合規範的資源。

您也可以使用 Azure PowerShellAzure CLI範本來指派原則

條件式存取原則

若要控制誰可以存取您的 Azure Machine Learning 工作區,請使用 Microsoft Entra 條件式存取。 若要針對 Azure Machine Learning 工作區使用條件式存取,請將條件式存取原則指派至名為 Azure Machine Learning 的應用程式。 應用程式識別碼為 0736f41a-0425-bdb5-1563eff02385

使用登陸區域啟用自助服務

登陸區域是一種架構模式,可考慮設定 Azure 環境時的規模、治理、安全性和生產力。 資料登陸區域是由管理員設定的環境,應用程式小組會使用此環境來託管資料和分析工作負載。

登陸區域的目的是確保當小組在 Azure 環境中啟動時,會完成所有基礎結構組態工作。 比方說,安全性控制項已設定為符合組織標準,而且已設定網路連線能力。

使用登陸區域模式,機器學習小組可以自行部署和管理自己的資源。 藉由以系統管理員身分使用 Azure 原則,您可以稽核和管理 Azure 資源以符合規範。

Azure Machine Learning 可以與雲端採用架構資料管理和分析案例中的資料登陸區域整合。 此參考實作提供優化的環境,可將機器學習工作負載遷移至 Azure 機器學習,並包含預先設定的原則。

設定內建原則

計算實例應該有閑置關機

此原則可控制 Azure 機器學習 計算實例是否應該啟用閑置關機。 閑置關機會在指定的一段時間內閑置時自動停止計算實例。 此原則有助於節省成本,並確保不會不必要地使用資源。

若要設定此原則,請將效果參數設定為 AuditDenyDisabled。 如果設定為 [稽核],您可以建立計算實例而不啟用閑置關機,並在活動記錄中建立警告事件。

應重新建立計算實例以取得軟體更新

控制 Azure 機器學習 計算實例是否應稽核,以確保其正在執行最新的可用軟體更新。 此原則有助於確保計算實例正在執行最新的軟體更新,以維護安全性和效能。 如需詳細資訊,請參閱 Azure 機器學習 的弱點管理。

若要設定此原則,請將效果參數設定為 AuditDisabled。 如果設定為 Audit,當計算未執行最新的軟體更新時,就會在活動記錄中建立警告事件。

計算叢集和實例應該位於虛擬網路中

控制虛擬網路後方的計算叢集和執行個體資源稽核。

若要設定此原則,請將效果參數設定為 AuditDisabled。 如果設定為 [稽核],您可以建立未在虛擬網路後方設定的計算,並在活動記錄中建立警告事件。

計算應停用本機驗證方法。

控制 Azure Machine Learning 計算叢集或執行個體是否應該停用 本機驗證 (SSH)。

若要設定此原則,請將效果參數設定為 AuditDenyDisabled。 如果設定為 [稽核],您可以建立已啟用 SSH 的計算,並在活動記錄中建立警告事件。

如果原則設定為 [拒絕],則除非停用 SSH,否則您無法建立計算。 嘗試建立啟用 SSH 的計算會導致錯誤。 此錯誤也會記錄在活動記錄中。 此錯誤中會傳回原則識別碼。

工作區應使用客戶管理的金鑰加密

控制工作區是否應使用客戶管理的密鑰加密,或使用 Microsoft 管理的金鑰來加密計量和元數據。 如需如何使用客戶自控金鑰的詳細資訊,請參閱資料加密文章的 Azure Cosmos DB 一節。

若要設定此原則,請將效果參數設定為 AuditDeny。 如果設定為 [稽核],您可以在沒有客戶管理的金鑰的情況下建立工作區,並在活動記錄中建立警告事件。

如果原則設定為 [拒絕],除非您指定客戶管理的密鑰,否則您無法建立工作區。 嘗試建立不使用客戶自控金鑰的工作區會產生類似 Resource 'clustername' was disallowed by policy 的錯誤,並在活動記錄中建立錯誤。 原則識別碼也會在此錯誤中傳回。

設定工作區以停用公用網路存取

控制工作區是否應停用來自公用網際網路的網路存取。

若要設定此原則,請將效果參數設定為 AuditDenyDisabled。 如果設定為 [稽核],您可以建立具有公用存取權的工作區,並在活動記錄中建立警告事件。

如果原則設定為 [拒絕],則您無法建立允許從公用因特網存取網络的工作區。

工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性

控制工作區是否應啟用 V1LegacyMode 以支援網路隔離回溯相容性。 如果您想要將 Azure 機器學習 控制平面數據保留在專用網內,此原則會很有用。 如需詳細資訊,請參閱 使用我們的新 API 平台進行網路隔離變更。

若要設定此原則,請將效果參數設定為 AuditDenyDisabled。 如果設定為 Audit,您可以建立工作區而不啟用 V1LegacyMode,並在活動記錄中建立警告事件。

如果原則設定為 Deny,則除非它啟用 V1LegacyMode,否則您無法建立工作區。

控制工作區是否應使用 Azure Private Link 與 Azure 虛擬網路進行通訊。 如需使用私人鏈接的詳細資訊,請參閱設定 Azure 機器學習 工作區的私人端點。

若要設定此原則,請將效果參數設定為 AuditDeny。 如果設定為 [稽核],您可以在不使用私人鏈接的情況下建立工作區,並在活動記錄中建立警告事件。

如果原則設定為 [拒絕],除非您使用私人鏈接,否則您無法建立工作區。 嘗試建立沒有私人連結的工作區會導致錯誤。 此錯誤也會記錄在活動記錄中。 此錯誤中會傳回原則識別碼。

工作區應使用使用者指派的受控識別

控制是否使用系統指派的受控識別 (預設) 或使用者指派的受控識別來建立工作區。 工作區的受控識別會用來存取相關聯的資源,例如 Azure 儲存體、Azure Container Registry、Azure Key Vault 和 Azure Application Insights。 如需詳細資訊,請參閱設定 Azure Machine Learning 與其他服務之間的驗證

若要設定此原則,請將效果參數設定為 AuditDenyDisabled。 如果設定為 [稽核],您可以建立工作區,而不需指定使用者指派的受控識別。 將會使用系統指派的身分識別,並在活動記錄中建立警告事件。

如果原則設定為 [拒絕],除非您在建立程序期間提供使用者指派的身分識別,否則您無法建立工作區。 嘗試建立工作區但不提供使用者指派的身分識別會導致錯誤。 此錯誤也會記錄到活動記錄檔中。 此錯誤中會傳回原則識別碼。

設定計算以修改/停用本機驗證

此原則會修改任何 Azure 機器學習 計算叢集或實例建立要求,以停用本機驗證 (SSH)。

若要設定此原則,請將效果參數設定為 ModifyDisabled。 如果設定 Modify,在原則套用範圍內建立的任何計算叢集或執行個體,都會自動停用本機驗證。

設定工作區以使用私人 DNS 區域

此原則會將工作區設定為使用私人 DNS 區域,並覆寫私人端點的預設 DNS 解析。

若要設定此原則,請將效果參數設定為 DeployIfNotExists。 將 privateDnsZoneId 設定為待用私人 DNS 區域的 Azure Resource Manager 識別碼。

設定工作區以停用公用網路存取

設定工作區以停用來自公用因特網的網路存取。 這有助於保護工作區免於數據外泄風險。 您可以改為建立私人端點來存取工作區。 如需詳細資訊,請參閱設定 Azure 機器學習 工作區的私人端點。

若要設定此原則,請將效果參數設定為 ModifyDisabled。 如果設定為 [修改],則原則套用範圍內的任何工作區都會自動停用公用網路存取。

使用私人端點設定工作區

將工作區設定為在 Azure 虛擬網路的指定子網路內建立私人端點。

若要設定此原則,請將效果參數設定為 DeployIfNotExists。 將 privateEndpointSubnetID 設定為子網路的 Azure Resource Manager 識別碼。

設定診斷工作區以將記錄傳送至記錄分析工作區

設定 Azure 機器學習 工作區的診斷設定,以將記錄傳送至 Log Analytics 工作區。

若要設定此原則,請將效果參數設定為 DeployIfNotExistsDisabled。 如果設定為 DeployIfNotExists,原則會建立診斷設定,以在記錄不存在時將記錄傳送至 Log Analytics 工作區。

應啟用工作區中的資源記錄

稽核 Azure 機器學習 工作區是否啟用資源記錄。 資源記錄提供有關工作區中資源上執行之作業的詳細資訊。

若要設定此原則,請將效果參數設定為 AuditIfNotExistsDisabled。 如果設定為 AuditIfNotExists,則原則會稽核是否未啟用工作區的資源記錄。

相關內容