此頁面是 Azure Machine Learning 之 Azure 原則內建原則定義的索引。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 這些常見使用案例的原則定義已內建在您的 Azure 環境中,可協助您開始進行作業。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 GitHub 欄中的連結,以在 Azure 原則 GitHub 存放庫中檢視來源。
內建原則定義
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:Azure Machine Learning 部署應僅使用已核准的登錄模型 | 限制登錄模型的部署,以控管組織內使用的外部建立模型。 | Audit, Deny, Disabled | 1.0.0 預覽版 |
| [預覽版]:Azure Machine Learning 模型登錄部署僅允許指定的登錄 | 僅部署允許的登錄中且未受限制的登錄模型。 | 稽核, 拒絕, 停用 | 1.0.0 預覽版 |
| Azure Machine Learning 與 AI Studio 應使用僅允許核准傳出受控 VNet 模式 | 受控 VNet 隔離可透過內建的工作區層級 Azure Machine Learning 受控 VNet,簡化並自動化您的網路隔離組態。 受控 VNet 可保護您的受控 Azure Machine Learning 資源,例如計算執行個體、計算叢集、無伺服器計算與受控線上端點。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning Compute 執行個體應設定閒置關機。 | 設定閒置關機排程,可在預先決定的活動時間後關閉閒置計算資源,從而降低成本。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning Compute 執行個體應重新建立以取得最新的軟體更新 | 確保 Azure Machine Learning Compute 執行個體執行於最新可用的作業系統。 使用最新的安全性修補程式可提升安全性並降低弱點風險。 如需詳細資訊,請參閱 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Compute 資源應位於虛擬網路中 | Azure 虛擬網路可為 Azure Machine Learning Compute 叢集與執行個體提供更強化的安全性與隔離能力,並支援子網路、存取控制原則及其他功能,以進一步限制存取。 當計算資源設定為使用虛擬網路時,該資源將無法公開位址化,且只能從虛擬網路內的虛擬機器與應用程式存取。 | 稽核、已停用 | 1.0.1 |
| Azure Machine Learning Compute 資源應停用本機驗證方法 | 停用本機驗證方法可藉由確保 Machine Learning Compute 資源僅使用 Azure Active Directory 身分進行驗證來提升安全性。 請至 https://aka.ms/azure-ml-aad-policy,即可深入瞭解。 | Audit, Deny, Disabled | 2.1.0 |
| Azure Machine Learning 工作區應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 請至https://aka.ms/azureml-workspaces-cmk,即可深入瞭解。 | Audit, Deny, Disabled | 1.1.0 |
| Azure Machine Learning 工作區應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 請至https://aka.ms/azureml-workspaces-cmk,即可深入瞭解。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取可藉由確保 Machine Learning 工作區未暴露於公用網際網路上來提升安全性。 您可以改為建立私人端點,以控制工作區的對外暴露。 如需深入了解,請參閱:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit, Deny, Disabled | 2.0.1 |
| Azure Machine Learning 工作區應啟用 V1LegacyMode 以支援網路隔離的回溯相容性 | Azure ML 正在轉換至 Azure Resource Manager 上的新 V2 API 平台,您可以使用 V1LegacyMode 參數控制 API 平台版本。 啟用 V1LegacyMode 參數可讓您將工作區維持在與 V1 相同的網路隔離中,但您將無法使用新的 V2 功能。 建議只有在您想要將 AzureML 控制平面資料保留在您的私人網路內時,才開啟 V1 傳統模式。 請至 https://aka.ms/V1LegacyMode,即可深入瞭解。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning 工作區應使用 Private Link | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 如需深入了解私人連結,請參閱:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | 稽核、已停用 | 1.0.0 |
| Azure Machine Learning 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別來管理 Azure ML 工作區與相關資源 (Azure Container Registry、金鑰保存庫、儲存體,以及 Application Insights) 的存取。 依預設,Azure ML 工作區會使用系統指派的受控識別來存取相關資源。 使用者指派的受控識別可讓您將識別建立為 Azure 資源,並維護該識別的生命週期。 請至https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python,即可深入瞭解。 | Audit, Deny, Disabled | 1.0.0 |
| 設定 Azure Machine Learning Compute 以停用本機驗證方法 | 停用本機驗證方法,讓您的 Machine Learning Compute 僅要求使用 Azure Active Directory 身分進行驗證。 請至 https://aka.ms/azure-ml-aad-policy,即可深入瞭解。 | 修改、停用 | 2.1.0 |
| 設定 Azure Machine Learning 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析 Azure Machine Learning 工作區。 請至 https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview,即可深入瞭解。 | DeployIfNotExists,已停用 | 1.1.0 |
| 設定 Azure Machine Learning 工作區以停用公用網路存取 | 停用 Azure Machine Learning 工作區的公用網路存取,讓您的工作區無法透過公用網際網路存取。 這有助於保護工作區,降低資料外洩風險。 您可以改為建立私人端點,以控制工作區的對外暴露。 如需深入了解,請參閱:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改、停用 | 1.0.3 |
| 使用私人端點設定 Azure Machine Learning 工作區 | 私人端點可在來源或目的地沒有公用 IP 位址的情況下,將您的虛擬網路連線至 Azure 服務。 將私人端點對應至您的 Azure Machine Learning 工作區,以降低資料外洩風險。 如需深入了解私人連結,請參閱:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists,已停用 | 1.0.0 |
| 將 Azure Machine Learning 工作區的診斷設定設定至 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 Azure Machine Learning 工作區時,部署診斷設定,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists,已停用 | 1.0.1 |
| Azure Machine Learning 工作區中的資源記錄應啟用 | 資源記錄可在發生安全性事件或您的網路遭入侵時,重建活動軌跡以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
後續步驟
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。