使用原則,規範模型目錄中的部署
Azure Machine Learning 工作室的模型目錄,提供許多開放原始碼基礎模型的存取權,因此強制執行組織標準,以規範模型的部署,對於遵守安全性和合規性需求至關重要。 本文帶您瞭解如何使用內建 Azure 原則,限制模型目錄中的部署。
Azure 原則是治理工具,讓使用者能夠稽核、執行即時強制執行,以及大規模管理其 Azure 環境。 如需詳細資訊,請參閱 Azure 原則服務概觀。
使用案例範例:
- 您想強制執行組織安全性原則,但沒有自動化且可靠的方法。
- 您想要放寬測試小組的一些需求,但仍想要對生產環境維持嚴格的控管。 您需要簡單的自動化方式來區隔資源的強制執行作業。
適用於 Azure Machine Learning 登錄模型部署的 Azure 原則
使用 Azure Machine Learning 內建原則進行登錄模型部署(預覽版),可以拒絕所有登錄部署,或允許特定登錄的模型部署。 您也可以新增選用的模型封鎖清單,並將例外狀況加入允許的登錄內部的清單。
這個內建原則只支援 Deny 效果。
Deny: 將原則的效果設定為拒絕後,該原則會阻擋從 Azure Machine Learning 登錄建立不符原則定義的新部署,並在活動記錄中產生事件。 現有不合規的部署不受影響。
使用基礎登錄的使用者,可以使用模型目錄集合。 您可以在模型資產 ID 中,找到基礎登錄名稱。
建立原則指派
在 Azure 首頁的搜尋列中輸入原則,然後選取 Azure 原則圖示。
在 Azure 原則服務的 [撰寫] 下方,選取 [指派]。
![Azure 原則首頁內 [指派] 索引標籤的螢幕擷取畫面。](media/how-to-regulate-registry-deployments/policy-home.png?view=azureml-api-2#lightbox)
在指派頁面上,選取頂端的指派原則圖示。
在 [指派原則] 頁面的 [基本] 索引標籤上,更新下列欄位:
- 範圍:選取原則適用的 Azure 訂用帳戶和資源群組。
- 排除:從範圍中選取要從原則指派中排除的任何資源。
- 原則定義:選取要套用於排除範圍的原則定義。 在搜尋列中輸入「Azure Machine Learning」,然後找到 [預覽] Azure Machine Learning 登錄部署受到限制,除了允許的登錄之外」原則。 選取原則,然後選取新增。
選取參數索引標籤,然後更新效果和原則指派參數。 請務必取消選取「只顯示需要輸入或檢閱的參數」,這樣才會顯示所有參數。 若要進一步瞭解參數的功能,請將滑鼠停留在參數名稱旁邊的資訊圖示上。
![Azure 原則首頁內 [指派原則參數] 索引標籤的螢幕擷取畫面。](media/how-to-regulate-registry-deployments/assign-policy-parameters.png?view=azureml-api-2)
如果在原則指派期間,未於 Restricted Model AssetIds 參數中設定模型資產 ID,這個原則只允許部署 Allowed Registry Name 參數所指定模型登錄的所有模型。
選取檢閱 + 建立,完成原則指派。 原則指派大約需要 15 分鐘,新資源才會生效。
![Azure 原則首頁內 [指派原則參數] 索引標籤的螢幕擷取畫面。](media/how-to-regulate-registry-deployments/assign-policy-parameters.png?view=azureml-api-2#lightbox)
停用原則
您可以依照以下步驟,移除 Azure 入口網站中的原則指派:
- 瀏覽至 Azure 入口網站上的 [原則] 窗格。
- 選取 [指派]。
- 選取原則指派旁邊的 ... 按鈕,然後選取刪除指派。
限制
- 原則中的任何變更(包括更新原則定義、指派、豁免或原則集合),需要 10 分鐘才能在評估流程中生效。
- 系統會針對新建立和更新的部署回報合規性。 在公開預覽期間,合規性記錄會保留 24 小時。 在指派這些原則定義之前就存在的模型部署,將不會回報合規性。 您也無法針對在設定原則定義和指派之前就存在的部署,觸發評估。
- 您不能在一個原則指派中,將多個登錄加入允許清單。
後續步驟
- 了解如何取得合規性資料。
- 瞭解如何以程式設計方式建立原則。