Freigeben über

Regeln von Bereitstellungen im Modellkatalog mithilfe von Richtlinien

  • Artikel

Der Modellkatalog in Azure Machine Learning Studio bietet Zugriff auf viele Open-Source-Basismodelle und die Regulierung der Bereitstellungen dieser Modelle durch das Durchsetzen von Organisationsstandards kann von größter Bedeutung sein, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungen aus dem Modellkatalog mithilfe einer integrierten Azure-Richtlinie einschränken können.

Azure Policy ist ein Governancetool, mit dem Benutzer die Möglichkeit erhalten, ihre Azure-Umgebung im großen Maßstab zu überwachen, in Echtzeit durchzusetzen und zu verwalten. Weitere Informationen finden Sie unter Übersicht über den Azure Policy-Dienst.

Beispiele für Nutzungsszenarien:

  • Sie möchten Ihre Organisationssicherheitsrichtlinien durchsetzen, haben aber keine automatisierte und zuverlässige Möglichkeit, dies zu tun.
  • Sie möchten einige Anforderungen für Ihre Testteams lockern, aber Sie möchten auch eine strenge Kontrolle über Ihre Produktionsumgebung beibehalten. Sie benötigen eine einfache automatisierte Methode, um die Erzwingung Ihrer Ressourcen zu trennen.

Azure-Richtlinie für Azure Machine Learning-Registrierungsmodellbereitstellungen

Mit der integrierten Azure Machine Learning-Richtlinie für die Bereitstellung von Registrierungsmodellen (Vorschau) können Sie alle Registrierungsbereitstellungen verweigern oder Modellbereitstellungen von einer bestimmten Registrierung zulassen. Sie können auch eine optionale Blockliste von Modellen hinzufügen und innerhalb der erlaubten Registrierung Ausnahmen zu der Liste hinzufügen.

Diese integrierte Richtlinie unterstützt nur den Deny Effekt.

Deny: Mit der Auswirkung der Aufverweigerung der Richtlinie blockiert die Richtlinie die Erstellung neuer Bereitstellungen aus Azure Machine Learning-Registrierungen, die nicht der Richtliniendefinition entsprechen und ein Ereignis im Aktivitätsprotokoll generieren. Vorhandene nicht kompatible Bereitstellungen sind nicht betroffen.

Modellkatalogsammlungen werden Benutzern mit den zugrunde liegenden Registrierungen zur Verfügung gestellt. Sie finden den zugrunde liegenden Registrierungsnamen in der Modellobjekt-ID.

Erstellen einer Richtlinienzuweisung

  1. Geben Sie auf der Azure-Homepage „Policy“ (Richtlinie) in die Suchleiste ein, und klicken Sie auf das Symbol für die Azure-Richtlinie.

  2. Wählen Sie im Azure Policy-Dienst unter Erstellung die Option Zuweisungen aus.

Screenshot der Registerkarte „Zuweisungen“ in Azure Policy

  1. Wählen Sie oben auf der Zuweisungsseite das Symbol Richtlinie zuweisen aus.

  2. Aktualisieren Sie auf der Registerkarte „Grundlagen“ der Seite „Richtlinie zuweisen“ die folgenden Felder:

    1. Bereich: Wählen Sie aus, auf welche Azure-Abonnements und Ressourcengruppen die Richtlinien angewendet werden soll.
    2. Ausschlüsse: Wählen Sie alle Ressourcen im Bereich aus, die aus der Richtlinienzuweisung ausgeschlossen werden sollen.
    3. Richtliniendefinition: Wählen Sie die Richtliniendefinition aus, die für den Bereich mit Ausschlüssen gelten soll. Geben Sie „Azure Machine Learning“ in die Suchleiste ein, und suchen Sie die Richtlinie „[Vorschau] Azure Machine Learning Modellregistrierung Bereitstellungen sind eingeschränkt, außer für erlaubte Registrierung“. Wählen Sie die Richtlinie und dann Hinzufügen aus.

  3. Wählen Sie die Registerkarte Parameter aus, und aktualisieren Sie die Parameter des Effekts und der Richtlinienzuweisung. Deaktivieren Sie das Kontrollkästchen „Nur Parameter anzeigen, die Eingabe oder Überprüfung benötigen“, damit alle Parameter angezeigt werden. Um die Funktionsweise des Parameters weiter zu verdeutlichen, fahren Sie mit der Maus auf das Infosymbol neben dem Parameternamen.

    Screenshot der Registerkarte „Richtlinienparameter zuweisen“ auf der Azure Policy-Startseite

    Wenn bei der Zuweisung der Richtlinie im Parameter Eingeschränkte Modellressourcen-IDs keine Modellressourcen-IDs festgelegt werden, erlaubt diese Richtlinie nur die Bereitstellung aller Modelle aus der im Parameter Erlaubter Registrierungsname angegebenen Modellregistrierung.

  4. Wählen Sie Überprüfen und erstellen aus, um Ihre Richtlinienzuweisung fertigzustellen. Es dauert ca. 15 Minuten, bis die Richtlinienzuweisung für neue Ressourcen aktiv wird.

Deaktivieren der Richtlinie

Sie können die Richtlinienzuweisung im Azure-Portal mit den folgenden Schritten entfernen:

  1. Navigieren Sie im Azure-Portal zum Richtlinien-Bereich.
  2. Klicken Sie auf Zuweisungen.
  3. Klicken Sie auf die Schaltfläche ... neben Ihrer Richtlinienzuordnung und wählen Sie Zuordnung löschen.

Begrenzungen

  • Bei jeder Änderung der Richtlinie (einschließlich der Aktualisierung der Richtliniendefinition, der Zuweisungen, der Ausnahmen oder des Richtliniensatzes) dauert es 10 Minuten, bis diese Änderungen im Auswertungsprozess wirksam werden.
  • Die Compliance wird für neu erstellte und aktualisierte Bereitstellungen gemeldet. Während der öffentlichen Vorschau bleiben Compliancedatensätze 24 Stunden lang erhalten. Modellbereitstellungen, die vor der Zuweisung dieser Richtliniendefinitionen existieren, melden keine Konformität. Sie können auch nicht die Auswertungen von Bereitstellungen auslösen, die vor dem Einrichten der Richtliniendefinition und -zuweisung vorhanden waren.
  • Sie können nicht mehr als eine Registrierung in einer Richtlinienzuweisung auf die Positivliste setzen.

Nächste Schritte