Granska och hantera Azure Machine Learning
När team samarbetar i Azure Machine Learning kan de ställas inför olika krav för att konfigurera och organisera resurser. Maskininlärningsteam kan söka efter flexibilitet i hur du organiserar arbetsytor för samarbete eller hur du storleksanpassar beräkningskluster för kraven i deras användningsfall. I dessa scenarier kan produktiviteten vara till nytta om programteamen kan hantera sin egen infrastruktur.
Som plattformsadministratör kan du använda principer för att lägga ut skyddsräcken för team för att hantera sina egna resurser. Azure Policy hjälper till att granska och styra resurstillstånd. Den här artikeln beskriver hur du kan använda granskningskontroller och styrningsmetoder för Azure Machine Learning.
Principer för Azure Machine Learning
Azure Policy är ett styrningsverktyg som gör att du kan se till att Azure-resurser är kompatibla med dina principer.
Azure Policy tillhandahåller en uppsättning principer som du kan använda för vanliga scenarier med Azure Machine Learning. Du kan tilldela dessa principdefinitioner till din befintliga prenumeration eller använda dem som grund för att skapa egna anpassade definitioner.
I följande tabell visas de inbyggda principer som du kan tilldela med Azure Machine Learning. En lista över alla inbyggda Azure-principer finns i Inbyggda principer.
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Azure Machine Learning-distributioner bör endast använda godkända registermodeller | Begränsa distributionen av registermodeller för att styra externt skapade modeller som används i din organisation | Granska, neka, inaktiverad | 1.0.0-preview |
[Förhandsversion]: Distributioner av Azure Machine Learning Model Registry är begränsade förutom det tillåtna registret | Distribuera endast registermodeller i det tillåtna registret och som inte är begränsade. | Neka, inaktiverad | 1.0.0-preview |
Azure Machine Learning Compute Instance bör ha inaktiv avstängning. | Ett schema för inaktiv avstängning minskar kostnaderna genom att stänga av beräkningar som är inaktiva efter en fördefinierad aktivitetsperiod. | Granska, neka, inaktiverad | 1.0.0 |
Azure Machine Learning-beräkningsinstanser bör återskapas för att få de senaste programuppdateringarna | Se till att Azure Machine Learning-beräkningsinstanser körs på det senaste tillgängliga operativsystemet. Säkerheten förbättras och säkerhetsrisker minskas genom att köras med de senaste säkerhetskorrigeringarna. Mer information finns på https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Computes ska finnas i ett virtuellt nätverk | Azure Virtual Networks ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. | Granskning, inaktiverad | 1.0.1 |
Azure Machine Learning Computes bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att maskininlärningsberäkning kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Granska, neka, inaktiverad | 2.1.0 |
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.1.0 |
Azure Machine Learning-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att maskininlärningsarbetsytorna inte exponeras på det offentliga Internet. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://zcusa.951200.xyz/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Granska, neka, inaktiverad | 2.0.1 |
Azure Machine Learning-arbetsytor bör aktivera V1LegacyMode för att stödja bakåtkompatibilitet för nätverksisolering | Azure ML gör en övergång till en ny V2 API-plattform i Azure Resource Manager och du kan styra API-plattformsversionen med hjälp av parametern V1LegacyMode. Om du aktiverar parametern V1LegacyMode kan du behålla dina arbetsytor i samma nätverksisolering som V1, även om du inte kommer att använda de nya V2-funktionerna. Vi rekommenderar att du aktiverar V1 Äldre läge endast när du vill behålla AzureML-kontrollplansdata i dina privata nätverk. Läs mer på: https://aka.ms/V1LegacyMode. | Granska, neka, inaktiverad | 1.0.0 |
Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
Azure Machine Learning-arbetsytor bör använda användartilldelad hanterad identitet | Manange-åtkomst till Azure ML-arbetsyta och associerade resurser, Azure Container Registry, KeyVault, Storage och App Insights med hjälp av användartilldelad hanterad identitet. Som standard används systemtilldelad hanterad identitet av Azure ML-arbetsytan för att få åtkomst till de associerade resurserna. Med användartilldelad hanterad identitet kan du skapa identiteten som en Azure-resurs och underhålla identitetens livscykel. Läs mer på https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Granska, neka, inaktiverad | 1.0.0 |
Konfigurera Azure Machine Learning Computes för att inaktivera lokala autentiseringsmetoder | Inaktivera metoder för platsautentisering så att dina Machine Learning Computes kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy. | Ändra, inaktiverad | 2.1.0 |
Konfigurera Azure Machine Learning-arbetsytan så att den använder privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Machine Learning-arbetsytor. Läs mer på: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, inaktiverad | 1.1.0 |
Konfigurera Azure Machine Learning-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Machine Learning-arbetsytor så att dina arbetsytor inte är tillgängliga via det offentliga Internet. Detta hjälper till att skydda arbetsytorna mot dataläckagerisker. Du kan kontrollera exponeringen av dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://zcusa.951200.xyz/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Ändra, inaktiverad | 1.0.3 |
Konfigurera Azure Machine Learning-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din Azure Machine Learning-arbetsyta kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, inaktiverad | 1.0.0 |
Konfigurera diagnostikinställningar för Azure Machine Learning-arbetsytor till Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure Machine Learning-arbetsytor för att strömma resursloggar till en Log Analytics-arbetsyta när en Azure Machine Learning-arbetsyta som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.1 |
Resursloggar i Azure Machine Learning-arbetsytor ska vara aktiverade | Med resursloggar kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras. | AuditIfNotExists, inaktiverad | 1.0.1 |
Principer kan anges i olika omfång, till exempel på prenumerations- eller resursgruppsnivå. Mer information finns i Dokumentationen om Azure Policy.
Tilldela inbyggda principer
Om du vill visa de inbyggda principdefinitionerna som är relaterade till Azure Machine Learning använder du följande steg:
- Gå till Azure Policy i Azure Portal.
- Välj Definitioner.
- För Typ väljer du Inbyggd. För Kategori väljer du Maskininlärning.
Härifrån kan du välja principdefinitioner för att visa dem. När du visar en definition kan du använda länken Tilldela för att tilldela principen till ett visst omfång och konfigurera parametrarna för principen. Mer information finns i Skapa en principtilldelning för att identifiera icke-kompatibla resurser med hjälp av Azure Portal.
Du kan också tilldela principer med hjälp av Azure PowerShell, Azure CLI eller mallar.
Villkorliga åtkomstprinciper
Om du vill styra vem som har åtkomst till din Azure Machine Learning-arbetsyta använder du villkorsstyrd åtkomst i Microsoft Entra. Om du vill använda villkorlig åtkomst för Azure Machine Learning-arbetsytor tilldelar du principen för villkorsstyrd åtkomst till appen med namnet Azure Machine Learning. App-ID:t är 0736f41a-0425-bdb5-1563eff02385.
Aktivera självbetjäning med landningszoner
Landningszoner är ett arkitekturmönster som står för skalning, styrning, säkerhet och produktivitet när du konfigurerar Azure-miljöer. En datalandningszon är en administratörskonfigurerad miljö som ett programteam använder för att vara värd för en data- och analysarbetsbelastning.
Syftet med landningszonen är att säkerställa att allt infrastrukturkonfigurationsarbete utförs när ett team startar i Azure-miljön. Till exempel konfigureras säkerhetskontroller i enlighet med organisationens standarder och nätverksanslutningen konfigureras.
När du använder mönstret landningszoner kan maskininlärningsteam distribuera och hantera sina egna resurser på självbetjäningsbasis. Genom att använda Azure Policy som administratör kan du granska och hantera Azure-resurser för efterlevnad.
Azure Machine Learning integreras med datalandningszoner i datahanterings- och analysscenariot Cloud Adoption Framework. Den här referensimplementeringen ger en optimerad miljö för att migrera maskininlärningsarbetsbelastningar till Azure Machine Learning och innehåller förkonfigurerade principer.
Konfigurera inbyggda principer
Beräkningsinstansen bör ha inaktiv avstängning
Den här principen styr om en Azure Machine Learning-beräkningsinstans ska ha inaktiv avstängning aktiverad. Inaktiv avstängning stoppar automatiskt beräkningsinstansen när den är inaktiv under en angiven tidsperiod. Den här principen är användbar för kostnadsbesparingar och för att säkerställa att resurser inte används i onödan.
Om du vill konfigurera den här principen anger du effektparametern till Granskning, Neka eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en beräkningsinstans utan inaktiv avstängning aktiverad och en varningshändelse skapas i aktivitetsloggen.
Beräkningsinstanser bör återskapas för att hämta programuppdateringar
Styr om Azure Machine Learning-beräkningsinstanser ska granskas för att se till att de kör de senaste tillgängliga programuppdateringarna. Den här principen är användbar för att säkerställa att beräkningsinstanser kör de senaste programuppdateringarna för att upprätthålla säkerhet och prestanda. Mer information finns i Sårbarhetshantering för Azure Machine Learning.
Om du vill konfigurera den här principen anger du effektparametern till Granska eller Inaktiverad. Om inställningen är Inställd på Granskning skapas en varningshändelse i aktivitetsloggen när en beräkning inte kör de senaste programuppdateringarna.
Beräkningsklustret och instansen ska finnas i ett virtuellt nätverk
Styr granskning av beräkningskluster och instansresurser bakom ett virtuellt nätverk.
Om du vill konfigurera den här principen anger du effektparametern till Granska eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en beräkning som inte har konfigurerats bakom ett virtuellt nätverk och en varningshändelse skapas i aktivitetsloggen.
Beräkning bör ha lokala autentiseringsmetoder inaktiverade.
Styr om ett Azure Machine Learning-beräkningskluster eller en instans ska inaktivera lokal autentisering (SSH).
Om du vill konfigurera den här principen anger du effektparametern till Granskning, Neka eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en beräkning med SSH aktiverat och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en beräkning om inte SSH har inaktiverats. Försök att skapa en beräkning med SSH-aktiverad resulterar i ett fel. Felet loggas också i aktivitetsloggen. Principidentifieraren returneras som en del av det här felet.
Arbetsytor ska krypteras med kundhanterad nyckel
Styr om en arbetsyta ska krypteras med en kundhanterad nyckel eller med en Microsoft-hanterad nyckel för att kryptera mått och metadata. Mer information om hur du använder kundhanterad nyckel finns i avsnittet Azure Cosmos DB i artikeln om datakryptering.
Om du vill konfigurera den här principen anger du effektparametern till Granska eller Neka. Om inställningen är Inställd på Granskning kan du skapa en arbetsyta utan en kundhanterad nyckel och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en arbetsyta om den inte anger en kundhanterad nyckel. Försök att skapa en arbetsyta utan en kundhanterad nyckel resulterar i ett fel som liknar Resource 'clustername' was disallowed by policy
och skapar ett fel i aktivitetsloggen. Principidentifieraren returneras också som en del av det här felet.
Konfigurera arbetsytor för att inaktivera åtkomst till offentligt nätverk
Styr om en arbetsyta ska inaktivera nätverksåtkomst från det offentliga Internet.
Om du vill konfigurera den här principen anger du effektparametern till Granskning, Neka eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en arbetsyta med offentlig åtkomst och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en arbetsyta som tillåter nätverksåtkomst från det offentliga Internet.
Arbetsytor bör göra det möjligt för V1LegacyMode att stödja bakåtkompatibilitet för nätverksisolering
Styr om en arbetsyta ska aktivera V1LegacyMode för att stödja bakåtkompatibilitet för nätverksisolering. Den här principen är användbar om du vill behålla Azure Machine Learning-kontrollplansdata i dina privata nätverk. Mer information finns i Ändra nätverksisolering med vår nya API-plattform.
Om du vill konfigurera den här principen anger du effektparametern till Granska eller Neka eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en arbetsyta utan att aktivera V1LegacyMode och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en arbetsyta om den inte aktiverar V1LegacyMode.
Arbetsytor bör använda privat länk
Styr om en arbetsyta ska använda Azure Private Link för att kommunicera med Azure Virtual Network. Mer information om hur du använder privat länk finns i Konfigurera en privat slutpunkt för en Azure Machine Learning-arbetsyta.
Om du vill konfigurera den här principen anger du effektparametern till Granska eller Neka. Om inställningen är Inställd på Granskning kan du skapa en arbetsyta utan att använda en privat länk och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en arbetsyta om den inte använder en privat länk. Försök att skapa en arbetsyta utan en privat länk resulterar i ett fel. Felet loggas också i aktivitetsloggen. Principidentifieraren returneras som en del av det här felet.
Arbetsytor bör använda användartilldelad hanterad identitet
Styr om en arbetsyta skapas med hjälp av en systemtilldelad hanterad identitet (standard) eller en användartilldelad hanterad identitet. Den hanterade identiteten för arbetsytan används för att komma åt associerade resurser som Azure Storage, Azure Container Registry, Azure Key Vault och Azure Application Insights. Mer information finns i Konfigurera autentisering mellan Azure Machine Learning och andra tjänster.
Om du vill konfigurera den här principen anger du effektparametern till Granskning, Neka eller Inaktiverad. Om inställningen är Inställd på Granskning kan du skapa en arbetsyta utan att ange en användartilldelad hanterad identitet. En systemtilldelad identitet används och en varningshändelse skapas i aktivitetsloggen.
Om principen är inställd på Neka kan du inte skapa en arbetsyta om du inte anger en användartilldelad identitet under skapandeprocessen. Försök att skapa en arbetsyta utan att ange en användartilldelad identitet resulterar i ett fel. Felet loggas också till aktivitetsloggen. Principidentifieraren returneras som en del av det här felet.
Konfigurera beräkningar för att ändra/inaktivera lokal autentisering
Den här principen ändrar alla begäranden om att skapa Azure Machine Learning-beräkningskluster eller instanser för att inaktivera lokal autentisering (SSH).
Om du vill konfigurera den här principen anger du effektparametern till Ändra eller Inaktiverad. Om du anger Ändra inaktiveras lokal autentisering när ett beräkningskluster eller en instans skapas inom det omfång där principen tillämpas automatiskt.
Konfigurera arbetsytan så att den använder privata DNS-zoner
Den här principen konfigurerar en arbetsyta för att använda en privat DNS-zon, vilket överskrider standard-DNS-matchningen för en privat slutpunkt.
Om du vill konfigurera den här principen anger du effektparametern till DeployIfNotExists. Ange privateDnsZoneId till Azure Resource Manager-ID:t för den privata DNS-zonen som ska användas.
Konfigurera arbetsytor för att inaktivera åtkomst till offentligt nätverk
Konfigurerar en arbetsyta för att inaktivera nätverksåtkomst från det offentliga Internet. Om du inaktiverar åtkomst till offentliga nätverk kan du skydda arbetsytorna mot dataläckagerisker. Du kan i stället komma åt din arbetsyta genom att skapa privata slutpunkter. Mer information finns i Konfigurera en privat slutpunkt för en Azure Machine Learning-arbetsyta.
Om du vill konfigurera den här principen anger du effektparametern till Ändra eller Inaktiverad. Om det är inställt på Ändra inaktiveras åtkomst till offentliga nätverk när en arbetsyta skapas inom det omfång där principen tillämpas automatiskt.
Konfigurera arbetsytor med privata slutpunkter
Konfigurerar en arbetsyta för att skapa en privat slutpunkt i det angivna undernätet för ett virtuellt Azure-nätverk.
Om du vill konfigurera den här principen anger du effektparametern till DeployIfNotExists. Ange privateEndpointSubnetID till Azure Resource Manager-ID för undernätet.
Konfigurera diagnostikarbetsytor för att skicka loggar till log analytics-arbetsytor
Konfigurerar diagnostikinställningarna för en Azure Machine Learning-arbetsyta för att skicka loggar till en Log Analytics-arbetsyta.
Om du vill konfigurera den här principen anger du effektparametern till DeployIfNotExists eller Disabled. Om den är inställd på DeployIfNotExists skapar principen en diagnostikinställning för att skicka loggar till en Log Analytics-arbetsyta om den inte redan finns.
Resursloggar på arbetsytor ska vara aktiverade
Granskar om resursloggar är aktiverade för en Azure Machine Learning-arbetsyta. Resursloggar innehåller detaljerad information om åtgärder som utförs på resurser på arbetsytan.
Om du vill konfigurera den här principen anger du effektparametern till AuditIfNotExists eller Disabled. Om värdet är AuditIfNotExists granskar principen om resursloggar inte är aktiverade för arbetsytan.
Skapa anpassade definitioner
När du behöver skapa anpassade principer för din organisation kan du använda Definitionsstrukturen för Azure Policy för att skapa egna definitioner. Du kan använda Azure Policy Visual Studio Code-tillägget för att skapa och testa dina principer.
Om du vill identifiera de principalias som du kan använda i din definition använder du följande Azure CLI-kommando för att lista aliasen för Azure Machine Learning:
az provider show --namespace Microsoft.MachineLearningServices --expand "resourceTypes/aliases" --query "resourceTypes[].aliases[].name"
Om du vill identifiera de tillåtna värdena för ett visst alias går du till REST API-referensen för Azure Machine Learning.
En självstudiekurs (inte azure machine learning-specifik) om hur du skapar anpassade principer finns i Skapa en anpassad principdefinition.
Exempel: Blockera serverlösa spark-beräkningsjobb
{
"properties": {
"displayName": "Deny serverless Spark compute jobs",
"description": "Deny serverless Spark compute jobs",
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "Microsoft.MachineLearningServices/workspaces/jobs/jobType",
"in": [
"Spark"
]
}
]
},
"then": {
"effect": "Deny"
}
},
"parameters": {}
}
}
Exempel: Konfigurera ingen offentlig IP-adress för hanterade beräkningar
{
"properties": {
"displayName": "Deny compute instance and compute cluster creation with public IP",
"description": "Deny compute instance and compute cluster creation with public IP",
"mode": "all",
"parameters": {
"effectType": {
"type": "string",
"defaultValue": "Deny",
"allowedValues": [
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "Enable or disable the execution of the policy"
}
}
},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.MachineLearningServices/workspaces/computes"
},
{
"allOf": [
{
"field": "Microsoft.MachineLearningServices/workspaces/computes/computeType",
"notEquals": "AKS"
},
{
"field": "Microsoft.MachineLearningServices/workspaces/computes/enableNodePublicIP",
"equals": true
}
]
}
]
},
"then": {
"effect": "[parameters('effectType')]"
}
}
}
}
Relaterat innehåll
- Dokumentation om Azure Policy
- Inbyggda principer för Azure Machine Learning
- Arbeta med säkerhetsprinciper med Microsoft Defender för molnet
- Scenariot Cloud Adoption Framework för datahantering och analys beskriver överväganden vid körning av data- och analysarbetsbelastningar i molnet
- Cloud Adoption Framework-datalandningszoner ger en referensimplementering för hantering av data- och analysarbetsbelastningar i Azure
- Lär dig hur du använder principer för att integrera Azure Private Link med Azure Privat DNS-zoner