Inspekcja usługi Azure Machine Learning i zarządzanie nią
Gdy zespoły współpracują z usługą Azure Machine Learning, mogą mieć różne wymagania dotyczące konfigurowania i organizowania zasobów. Zespoły uczenia maszynowego mogą szukać elastyczności w sposobie organizowania obszarów roboczych na potrzeby współpracy lub rozmiaru klastrów obliczeniowych pod kątem wymagań przypadków użycia. W tych scenariuszach produktywność może przynieść korzyści, jeśli zespoły aplikacji mogą zarządzać własną infrastrukturą.
Jako administrator platformy można używać zasad do określania barier zabezpieczających dla zespołów w celu zarządzania własnymi zasobami. Usługa Azure Policy pomaga przeprowadzać inspekcję stanu zasobów i zarządzać nim. W tym artykule wyjaśniono, jak można używać mechanizmów kontroli inspekcji i praktyk zapewniania ładu w usłudze Azure Machine Learning.
Zasady usługi Azure Machine Learning
Azure Policy to narzędzie do zapewniania ładu, które umożliwia zapewnienie zgodności zasobów platformy Azure z zasadami.
Usługa Azure Policy udostępnia zestaw zasad, których można używać w typowych scenariuszach z usługą Azure Machine Learning. Możesz przypisać te definicje zasad do istniejącej subskrypcji lub użyć ich jako podstawy, aby utworzyć własne definicje niestandardowe.
W poniższej tabeli wymieniono wbudowane zasady, które można przypisać za pomocą usługi Azure Machine Learning. Aby uzyskać listę wszystkich wbudowanych zasad platformy Azure, zobacz Wbudowane zasady.
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrożenia rejestru modeli usługi Azure Machine Learning są ograniczone z wyjątkiem dozwolonego rejestru | Wdróż tylko modele rejestru w dozwolonym rejestrze i które nie są ograniczone. | Odmów, Wyłączone | 1.0.0-preview |
| Wystąpienie obliczeniowe usługi Azure Machine Learning powinno mieć zamknięcie bezczynności. | Posiadanie harmonogramu zamknięcia bezczynności zmniejsza koszt, zamykając obliczenia bezczynne po wstępnie określonym okresie działania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aby uzyskać najnowsze aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe usługi Azure Machine Learning | Upewnij się, że wystąpienia obliczeniowe usługi Azure Machine Learning działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane i ograniczane przez uruchomienie najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, zobacz https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Obliczenia usługi Azure Machine Learning powinny znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację klastrów obliczeniowych i wystąpień usługi Azure Machine Learning, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Inspekcja, wyłączone | 1.0.1 |
| Obliczenia usługi Azure Machine Learning powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że obliczenia usługi Machine Learning wymagają tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Obszary robocze usługi Azure Machine Learning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze usługi Machine Learning nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://video2.skills-academy.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Obszary robocze usługi Azure Machine Learning powinny włączyć tryb V1LegacyMode, aby obsługiwać zgodność z poprzednimi wersjami izolacji sieci | Usługa Azure ML wykonuje przejście na nową platformę interfejsu API w wersji 2 w usłudze Azure Resource Manager i można kontrolować wersję platformy interfejsu API przy użyciu parametru V1LegacyMode. Włączenie parametru V1LegacyMode umożliwi zachowanie obszarów roboczych w tej samej izolacji sieciowej co wersja 1, chociaż nie będziesz korzystać z nowych funkcji w wersji 2. Zalecamy włączenie trybu starszego w wersji 1 tylko wtedy, gdy chcesz przechowywać dane płaszczyzny sterowania AzureML wewnątrz sieci prywatnych. Dowiedz się więcej na stronie: https://aka.ms/V1LegacyMode. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Learning powinny używać tożsamości zarządzanej przypisanej przez użytkownika | Dostęp manange do obszaru roboczego usługi Azure ML i skojarzonych zasobów, usługi Azure Container Registry, KeyVault, Storage i App Insights przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Domyślnie tożsamość zarządzana przypisana przez system jest używana przez obszar roboczy usługi Azure ML do uzyskiwania dostępu do skojarzonych zasobów. Tożsamość zarządzana przypisana przez użytkownika umożliwia utworzenie tożsamości jako zasobu platformy Azure i utrzymanie cyklu życia tej tożsamości. Dowiedz się więcej na https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie usługi Azure Machine Learning Computes w celu wyłączenia lokalnych metod uwierzytelniania | Wyłącz metody uwierzytelniania lokalizacji, aby obliczenia usługi Machine Learning wymagały tożsamości usługi Azure Active Directory wyłącznie do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Modyfikowanie, wyłączone | 2.1.0 |
| Konfigurowanie obszaru roboczego usługi Azure Machine Learning do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Machine Learning. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Learning w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla obszarów roboczych usługi Azure Machine Learning, aby obszary robocze były niedostępne za pośrednictwem publicznego Internetu. Pomaga to chronić obszary robocze przed ryzykiem wycieku danych. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://video2.skills-academy.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modyfikowanie, wyłączone | 1.0.3 |
| Konfigurowanie obszarów roboczych usługi Azure Machine Learning przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Machine Learning, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla obszarów roboczych usługi Azure Machine Learning w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne obszarów roboczych usługi Azure Machine Learning w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy dowolny obszar roboczy usługi Azure Machine Learning, w którym brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.1 |
| Dzienniki zasobów w obszarach roboczych usługi Azure Machine Learning powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists, Disabled | 1.0.1 |
Zasady można ustawiać w różnych zakresach, takich jak na poziomie subskrypcji lub grupy zasobów. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Policy.
Przypisywanie wbudowanych zasad
Aby wyświetlić wbudowane definicje zasad związane z usługą Azure Machine Learning, wykonaj następujące kroki:
- Przejdź do usługi Azure Policy w witrynie Azure Portal.
- Wybierz pozycję Definicje.
- W polu Typ wybierz pozycję Wbudowane. W obszarze Kategoria wybierz pozycję Uczenie maszynowe.
W tym miejscu możesz wybrać definicje zasad, aby je wyświetlić. Podczas wyświetlania definicji możesz użyć linku Przypisz , aby przypisać zasady do określonego zakresu i skonfigurować parametry zasad. Aby uzyskać więcej informacji, zobacz Tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów przy użyciu witryny Azure Portal.
Zasady można również przypisywać przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonów.
Zasady dostępu warunkowego
Aby kontrolować, kto może uzyskać dostęp do obszaru roboczego usługi Azure Machine Learning, użyj dostępu warunkowego firmy Microsoft Entra. Aby użyć dostępu warunkowego dla obszarów roboczych usługi Azure Machine Learning, przypisz zasady dostępu warunkowego do aplikacji o nazwie Azure Machine Learning. Identyfikator aplikacji to 0736f41a-0425-bdb5-1563eff02385.
Włączanie samoobsługi przy użyciu stref docelowych
Strefy docelowe to wzorzec architektury, który odpowiada za skalowanie, nadzór, bezpieczeństwo i produktywność podczas konfigurowania środowisk platformy Azure. Strefa docelowa danych to środowisko skonfigurowane przez administratora, którego zespół aplikacji używa do hostowania obciążenia danych i analiz.
Celem strefy docelowej jest zapewnienie, że wszystkie prace konfiguracyjne infrastruktury są wykonywane po uruchomieniu zespołu w środowisku platformy Azure. Na przykład mechanizmy kontroli zabezpieczeń są konfigurowane zgodnie ze standardami organizacyjnymi, a łączność sieciowa jest skonfigurowana.
W przypadku korzystania ze wzorca stref docelowych zespoły uczenia maszynowego mogą wdrażać własne zasoby i zarządzać nimi na zasadzie samoobsługi. Korzystając z zasad platformy Azure jako administrator, możesz przeprowadzać inspekcję zasobów platformy Azure i zarządzać nimi pod kątem zgodności.
Usługa Azure Machine Learning integruje się ze strefami docelowymi danych w scenariuszu zarządzania danymi i analizy przewodnika Cloud Adoption Framework. Ta implementacja referencyjna zapewnia zoptymalizowane środowisko do migrowania obciążeń uczenia maszynowego do usługi Azure Machine Learning i obejmuje wstępnie skonfigurowane zasady.
Konfigurowanie wbudowanych zasad
Wystąpienie obliczeniowe powinno mieć bezczynne zamykanie
Te zasady określają, czy wystąpienie obliczeniowe usługi Azure Machine Learning powinno mieć włączone bezczynne zamykanie. Zamknięcie bezczynności automatycznie zatrzymuje wystąpienie obliczeniowe, gdy jest bezczynne przez określony czas. Te zasady są przydatne w przypadku oszczędności kosztów i zapewnienia, że zasoby nie są niepotrzebnie używane.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit, Deny lub Disabled. Jeśli ustawiono opcję Inspekcja, możesz utworzyć wystąpienie obliczeniowe bezczynności włączone, a w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Aby uzyskać aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe
Określa, czy wystąpienia obliczeniowe usługi Azure Machine Learning powinny być poddawane inspekcji, aby upewnić się, że są uruchomione najnowsze dostępne aktualizacje oprogramowania. Te zasady są przydatne w celu zapewnienia, że wystąpienia obliczeniowe uruchamiają najnowsze aktualizacje oprogramowania w celu zachowania bezpieczeństwa i wydajności. Aby uzyskać więcej informacji, zobacz Zarządzanie lukami w zabezpieczeniach dla usługi Azure Machine Learning.
Aby skonfigurować te zasady, ustaw parametr efektu na Inspekcja lub Wyłączone. W przypadku ustawienia opcji Inspekcja w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze, gdy środowisko obliczeniowe nie uruchamia najnowszych aktualizacji oprogramowania.
Klaster obliczeniowy i wystąpienie powinny znajdować się w sieci wirtualnej
Steruje inspekcją zasobów klastra obliczeniowego i wystąpienia za siecią wirtualną.
Aby skonfigurować te zasady, ustaw parametr efektu na Inspekcja lub Wyłączone. W przypadku wybrania opcji Inspekcja możesz utworzyć obliczenia, które nie są skonfigurowane za siecią wirtualną, a w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Obliczenia powinny mieć wyłączone lokalne metody uwierzytelniania.
Określa, czy klaster obliczeniowy usługi Azure Machine Learning, czy wystąpienie powinno wyłączyć uwierzytelnianie lokalne (SSH).
Aby skonfigurować te zasady, ustaw parametr efektu na Audit, Deny lub Disabled. W przypadku wybrania opcji Inspekcja możesz utworzyć środowisko obliczeniowe z włączonym protokołem SSH, a w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obliczeń, chyba że protokół SSH jest wyłączony. Próba utworzenia obliczeń z włączonym protokołem SSH powoduje wystąpienie błędu. Błąd jest również rejestrowany w dzienniku aktywności. Identyfikator zasad jest zwracany w ramach tego błędu.
Obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta
Określa, czy obszar roboczy powinien być zaszyfrowany przy użyciu klucza zarządzanego przez klienta, czy też za pomocą klucza zarządzanego przez firmę Microsoft w celu szyfrowania metryk i metadanych. Aby uzyskać więcej informacji na temat korzystania z klucza zarządzanego przez klienta, zobacz sekcję usługi Azure Cosmos DB w artykule dotyczącym szyfrowania danych.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit lub Deny. W przypadku wybrania opcji Inspekcja możesz utworzyć obszar roboczy bez klucza zarządzanego przez klienta, a zdarzenie ostrzegawcze zostanie utworzone w dzienniku aktywności.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obszaru roboczego, chyba że określa klucz zarządzany przez klienta. Próba utworzenia obszaru roboczego bez klucza zarządzanego przez klienta powoduje wystąpienie błędu podobnego do Resource 'clustername' was disallowed by policy błędu i utworzenie błędu w dzienniku aktywności. Identyfikator zasad jest również zwracany w ramach tego błędu.
Konfigurowanie obszarów roboczych w celu wyłączenia dostępu do sieci publicznej
Określa, czy obszar roboczy powinien wyłączyć dostęp sieciowy z publicznego Internetu.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit, Deny lub Disabled. W przypadku ustawienia opcji Inspekcja możesz utworzyć obszar roboczy z dostępem publicznym i w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obszaru roboczego, który zezwala na dostęp do sieci z publicznego Internetu.
Obszary robocze powinny umożliwić trybowi V1LegacyMode obsługę zgodności z poprzednimi wersjami izolacji sieci
Określa, czy obszar roboczy powinien włączyć tryb V1LegacyMode w celu zapewnienia zgodności z poprzednimi wersjami izolacji sieci. Te zasady są przydatne, jeśli chcesz przechowywać dane płaszczyzny sterowania usługi Azure Machine Learning wewnątrz sieci prywatnych. Aby uzyskać więcej informacji, zobacz Zmiana izolacji sieciowej za pomocą naszej nowej platformy interfejsu API.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit lub Deny lub Disabled. Jeśli ustawiono opcję Inspekcja, możesz utworzyć obszar roboczy bez włączania funkcji V1LegacyMode i w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obszaru roboczego, chyba że zostanie włączony tryb V1LegacyMode.
Obszary robocze powinny używać łącza prywatnego
Określa, czy obszar roboczy powinien używać usługi Azure Private Link do komunikowania się z usługą Azure Virtual Network. Aby uzyskać więcej informacji na temat korzystania z łącza prywatnego, zobacz Konfigurowanie prywatnego punktu końcowego dla obszaru roboczego usługi Azure Machine Learning.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit lub Deny. Jeśli ustawiono opcję Inspekcja, możesz utworzyć obszar roboczy bez użycia łącza prywatnego i w dzienniku aktywności zostanie utworzone zdarzenie ostrzegawcze.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obszaru roboczego, chyba że używa łącza prywatnego. Próba utworzenia obszaru roboczego bez łącza prywatnego powoduje wystąpienie błędu. Błąd jest również rejestrowany w dzienniku aktywności. Identyfikator zasad jest zwracany w ramach tego błędu.
Obszary robocze powinny używać tożsamości zarządzanej przypisanej przez użytkownika
Określa, czy obszar roboczy jest tworzony przy użyciu tożsamości zarządzanej przypisanej przez system (ustawienie domyślne) czy tożsamości zarządzanej przypisanej przez użytkownika. Tożsamość zarządzana dla obszaru roboczego służy do uzyskiwania dostępu do skojarzonych zasobów, takich jak Azure Storage, Azure Container Registry, Azure Key Vault i aplikacja systemu Azure Insights. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania między usługą Azure Machine Learning i innymi usługami.
Aby skonfigurować te zasady, ustaw parametr efektu na Audit, Deny lub Disabled. W przypadku ustawienia opcji Inspekcja możesz utworzyć obszar roboczy bez określania tożsamości zarządzanej przypisanej przez użytkownika. Jest używana tożsamość przypisana przez system, a zdarzenie ostrzegawcze jest tworzone w dzienniku aktywności.
Jeśli zasady są ustawione na Odmów, nie można utworzyć obszaru roboczego, chyba że podczas procesu tworzenia podasz tożsamość przypisaną przez użytkownika. Próba utworzenia obszaru roboczego bez podania tożsamości przypisanej przez użytkownika powoduje wystąpienie błędu. Błąd jest również rejestrowany w dzienniku aktywności. Identyfikator zasad jest zwracany w ramach tego błędu.
Konfigurowanie obliczeń w celu modyfikowania/wyłączania uwierzytelniania lokalnego
Te zasady modyfikują wszystkie żądania utworzenia klastra obliczeniowego usługi Azure Machine Learning lub wystąpienia w celu wyłączenia uwierzytelniania lokalnego (SSH).
Aby skonfigurować te zasady, ustaw parametr efektu na Wartość Modyfikuj lub Wyłączone. W przypadku ustawienia Modyfikuj wszelkie tworzenie klastra obliczeniowego lub wystąpienia w zakresie, w którym zasady są stosowane automatycznie, ma wyłączone uwierzytelnianie lokalne.
Konfigurowanie obszaru roboczego do używania prywatnych stref DNS
Te zasady umożliwiają skonfigurowanie obszaru roboczego do używania prywatnej strefy DNS, przesłaniającej domyślną rozpoznawanie nazw DNS dla prywatnego punktu końcowego.
Aby skonfigurować te zasady, ustaw parametr efektu na Wartość DeployIfNotExists. Ustaw wartość privateDnsZoneId na identyfikator usługi Azure Resource Manager prywatnej strefy DNS do użycia.
Konfigurowanie obszarów roboczych w celu wyłączenia dostępu do sieci publicznej
Konfiguruje obszar roboczy w celu wyłączenia dostępu do sieci z publicznego Internetu. Wyłączenie dostępu do sieci publicznej pomaga chronić obszary robocze przed ryzykiem wycieku danych. Zamiast tego możesz uzyskać dostęp do obszaru roboczego, tworząc prywatne punkty końcowe. Aby uzyskać więcej informacji, zobacz Konfigurowanie prywatnego punktu końcowego dla obszaru roboczego usługi Azure Machine Learning.
Aby skonfigurować te zasady, ustaw parametr efektu na Wartość Modyfikuj lub Wyłączone. Jeśli jest ustawiona wartość Modyfikuj, wszelkie tworzenie obszaru roboczego w zakresie, w którym zasady są stosowane automatycznie, ma wyłączony dostęp do sieci publicznej.
Konfigurowanie obszarów roboczych z prywatnymi punktami końcowymi
Konfiguruje obszar roboczy w celu utworzenia prywatnego punktu końcowego w określonej podsieci sieci wirtualnej platformy Azure.
Aby skonfigurować te zasady, ustaw parametr efektu na Wartość DeployIfNotExists. Ustaw identyfikator privateEndpointSubnetID na identyfikator usługi Azure Resource Manager podsieci.
Konfigurowanie obszarów roboczych diagnostycznych w celu wysyłania dzienników do obszarów roboczych usługi Log Analytics
Konfiguruje ustawienia diagnostyczne dla obszaru roboczego usługi Azure Machine Learning w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics.
Aby skonfigurować te zasady, ustaw parametr efektu na Wartość DeployIfNotExists lub Disabled. Jeśli ustawiono wartość DeployIfNotExists, zasady tworzą ustawienie diagnostyczne w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics, jeśli jeszcze nie istnieje.
Dzienniki zasobów w obszarach roboczych powinny być włączone
Sprawdza, czy dzienniki zasobów są włączone dla obszaru roboczego usługi Azure Machine Learning. Dzienniki zasobów zawierają szczegółowe informacje o operacjach wykonywanych na zasobach w obszarze roboczym.
Aby skonfigurować te zasady, ustaw parametr efektu na AuditIfNotExists lub Disabled. Jeśli ustawiono wartość AuditIfNotExists, zasady sprawdzają, czy dzienniki zasobów nie są włączone dla obszaru roboczego.
Tworzenie definicji niestandardowych
Jeśli musisz utworzyć zasady niestandardowe dla organizacji, możesz użyć struktury definicji usługi Azure Policy, aby utworzyć własne definicje. Do tworzenia i testowania zasad można użyć rozszerzenia programu Visual Studio Code usługi Azure Policy.
Aby odnaleźć aliasy zasad, których można użyć w definicji, użyj następującego polecenia interfejsu wiersza polecenia platformy Azure, aby wyświetlić listę aliasów usługi Azure Machine Learning:
az provider show --namespace Microsoft.MachineLearningServices --expand "resourceTypes/aliases" --query "resourceTypes[].aliases[].name"
Aby odnaleźć dozwolone wartości dla określonego aliasu, odwiedź dokumentację interfejsu API REST usługi Azure Machine Learning.
Aby zapoznać się z samouczkiem (nie specyficznym dla usługi Azure Machine Learning) dotyczącym tworzenia zasad niestandardowych, odwiedź stronę Tworzenie niestandardowej definicji zasad.
Przykład: Blokuj bezserwerowe zadania obliczeniowe platformy Spark
{
"properties": {
"displayName": "Deny serverless Spark compute jobs",
"description": "Deny serverless Spark compute jobs",
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "Microsoft.MachineLearningServices/workspaces/jobs/jobType",
"in": [
"Spark"
]
}
]
},
"then": {
"effect": "Deny"
}
},
"parameters": {}
}
}
Przykład: Konfigurowanie publicznego adresu IP dla zarządzanych obliczeń
{
"properties": {
"displayName": "Deny compute instance and compute cluster creation with public IP",
"description": "Deny compute instance and compute cluster creation with public IP",
"mode": "all",
"parameters": {
"effectType": {
"type": "string",
"defaultValue": "Deny",
"allowedValues": [
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "Enable or disable the execution of the policy"
}
}
},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.MachineLearningServices/workspaces/computes"
},
{
"allOf": [
{
"field": "Microsoft.MachineLearningServices/workspaces/computes/computeType",
"notEquals": "AKS"
},
{
"field": "Microsoft.MachineLearningServices/workspaces/computes/enableNodePublicIP",
"equals": true
}
]
}
]
},
"then": {
"effect": "[parameters('effectType')]"
}
}
}
}
Powiązana zawartość
- Dokumentacja usługi Azure Policy
- Wbudowane zasady dla usługi Azure Machine Learning
- Praca z zasadami zabezpieczeń przy użyciu Microsoft Defender dla Chmury
- Scenariusz przewodnika Cloud Adoption Framework na potrzeby zarządzania danymi i analizy przedstawia zagadnienia dotyczące uruchamiania obciążeń danych i analiz w chmurze
- Strefy docelowe danych przewodnika Cloud Adoption Framework zapewniają implementację referencyjną do zarządzania obciążeniami danych i analiz na platformie Azure
- Dowiedz się, jak używać zasad do integrowania usługi Azure Private Link ze strefami usługi Azure Prywatna strefa DNS