Azure 原則 適用於 Azure 機器學習 的內建原則定義
此頁面是 Azure 機器學習 Azure 原則 內建原則定義的索引。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 這些常見使用案例的原則定義已內建在您的 Azure 環境中,可協助您開始進行作業。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 GitHub 資料行中的連結來檢視 Azure 原則 GitHub 存放庫上的來源。
內建原則定義
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure 機器學習 模型登錄部署受限,但允許的登錄除外 | 只在允許的登錄中部署登錄模型,且不受限制。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
| Azure 機器學習 計算實例應該有閑置關機。 | 閑置關機排程可藉由關閉在預先決定的活動期間之後閑置的計算來降低成本。 | Audit, Deny, Disabled | 1.0.0 |
| 應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | Audit, Disabled | 1.0.1 |
| Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning Compute 要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | Audit, Deny, Disabled | 2.1.0 |
| 應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.0.3 |
| Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit, Deny, Disabled | 2.0.1 |
| Azure 機器學習 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 | Azure ML 正在轉換至 Azure Resource Manager 上的新 V2 API 平臺,而且您可以使用 V1LegacyMode 參數控制 API 平臺版本。 啟用 V1LegacyMode 參數可讓您讓工作區保持與 V1 相同的網路隔離,不過您不會使用新的 V2 功能。 只有在您想要將 AzureML 控制平面數據保留在專用網內時,才建議開啟 V1 舊版模式。 深入了解:https://aka.ms/V1LegacyMode。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 機器學習 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別來管理對 Azure ML 工作區和相關聯資源的存取、Azure Container Registry、KeyVault、儲存體 和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關聯的資源。 使用者指派的受控識別可讓您建立身分識別作為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit, Deny, Disabled | 1.0.0 |
| 設定 Azure 機器學習 計算以停用本機驗證方法 | 停用位置驗證方法,讓您的 機器學習 計算需要專用的 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 修改、停用 | 2.1.0 |
| 設定 Azure 機器學習 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至 Azure 機器學習 工作區。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定 Azure 機器學習 工作區以停用公用網路存取 | 停用 Azure 機器學習 工作區的公用網路存取,讓您的工作區無法透過公用因特網存取。 這有助於保護工作區免於數據外泄風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改、停用 | 1.0.3 |
| 使用私人端點設定 Azure 機器學習 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 機器學習 工作區,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將 Azure 機器學習 工作區的診斷設定設定設定為 Log Analytics 工作區 | 部署 Azure 機器學習 工作區的診斷設定,以在建立或更新遺漏此診斷設定的任何 Azure 機器學習 工作區時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.1 |
| 應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。