Définitions de stratégie intégrées d'Azure Policy pour Azure Machine Learning
Cette page est un index des définitions de stratégie intégrées d'Azure Policy pour Azure Machine Learning. Les cas d’usage courants pour Azure Policy incluent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion. Les définitions de stratégie pour ces cas d’usage courants sont déjà disponibles dans votre environnement Azure comme éléments intégrés pour vous aider à démarrer. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne GitHub pour voir la source dans le dépôt GitHub Azure Policy.
Définitions de stratégie intégrées
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : Les déploiements Azure Machine Learning ne doivent utiliser que les modèles de Registre approuvés | Restreindre le déploiement des modèles de Registre pour contrôler les modèles créés en externe utilisés au sein de votre organisation | Audit, Refuser, Désactivé | 1.0.0-preview |
[Préversion] : les déploiements de Registre de modèles Azure Machine Learning sont limités, à l’exception du Registre autorisé | Déployez uniquement des modèles de Registre dans le Registre autorisé et qui ne sont pas limités. | Deny, Disabled | 1.0.0-preview |
La capacité de calcul Azure Machine Learning doit s’arrêter en cas d’inactivité. | Le fait de planifier un arrêt en cas d’inactivité réduit les coûts en arrêtant les calculs inactifs après une période d’activité prédéfinie. | Audit, Refuser, Désactivé | 1.0.0 |
Les instances de calcul Azure Machine Learning doivent être recréées pour obtenir les dernières mises à jour logicielles | Vérifiez que les instances de calcul Azure Machine Learning s’exécutent sur le dernier système d’exploitation disponible. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Les capacités de calcul Azure Machine Learning doivent se trouver dans un réseau virtuel | Le réseau virtuel Azure fournit une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Quand une capacité de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. | Audit, Désactivé | 1.0.1 |
Les méthodes d’authentification locale doivent être désactivées pour les capacités de calcul Azure Machine Learning | La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que les capacités de calcul Machine Learning requièrent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Audit, Refuser, Désactivé | 2.1.0 |
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.1.0 |
Les espaces de travail Azure Machine Learning doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public renforce la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l’Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://zcusa.951200.xyz/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Refuser, Désactivé | 2.0.1 |
Les espaces de travail Azure Machine Learning doivent activer V1LegacyMode pour prendre en charge la compatibilité descendante de l’isolement réseau. | Azure ML effectue une transition vers une nouvelle plateforme d’API V2 sur Azure Resource Manager et vous pouvez contrôler la version de la plateforme d’API à l’aide du paramètre V1LegacyMode. L’activation du paramètre V1LegacyMode vous permet de conserver vos espaces de travail dans la même isolation réseau que V1, bien que vous n’utilisiez pas les nouvelles fonctionnalités V2. Nous vous recommandons d’activer le mode hérité V1 uniquement lorsque vous souhaitez conserver les données du plan de contrôle AzureML à l’intérieur de vos réseaux privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/V1LegacyMode. | Audit, Refuser, Désactivé | 1.0.0 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de travail Azure Machine Learning doivent utiliser une identité managée affectée par l'utilisateur | Gérez l’accès à l’espace de travail Azure ML et aux ressources associées, Azure Container Registry, KeyVault, Stockage et App Insights à l’aide de l’identité managée affectée par l’utilisateur. Par défaut, l’identité managée affectée par le système est utilisée par l’espace de travail Azure ML pour accéder aux ressources associées. L’identité managée affectée par l’utilisateur vous permet de créer l’identité en tant que ressource Azure et de tenir à jour le cycle de vie de cette identité. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Refuser, Désactivé | 1.0.0 |
Configurer les capacités de calcul Azure Machine Learning pour désactiver les méthodes d’authentification locale | Désactivez les méthodes d’authentification d’emplacement de sorte que vos capacités de calcul Machine Learning nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Modifier, Désactivé | 2.1.0 |
Configurer l’espace de travail Azure Machine Learning pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Machine Learning. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Désactivé | 1.1.0 |
Configurer les espaces de travail Azure Machine Learning pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour les espaces de travail Azure Machine Learning afin que ceux-ci ne soient pas accessibles via l’Internet public. Cela permet de protéger les espaces de travail contre les risques de fuite de données. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://zcusa.951200.xyz/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Modifier, Désactivé | 1.0.3 |
Configurer les espaces de travail Azure Machine Learning avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre espace de travail Azure Machine Learning, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Désactivé | 1.0.0 |
Configurer les paramètres de diagnostic pour les espaces de travail Azure Machine Learning dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’espaces de travail Azure Machine Learning pour diffuser en continu les journaux de ressource à un espace de travail Azure Machine Learning quand un serveur SQL créé ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.1 |
Les journaux de ressource dans les espaces de travail Azure Machine Learning doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.