此页是 Azure 机器学习的 Azure Policy 内置策略定义的索引。 Azure Policy 的常见用例包括实施监管来满足资源一致性、法规遵从性、安全性、成本和管理方面的要求。 Azure 环境中已经内置了这些常见用例的策略定义,帮助你入门。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“GitHub”列中的链接查看 Azure Policy GitHub 存储库上的源。
内置策略定义
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 机器学习计算实例应处于空闲关闭状态。 | 使用空闲关闭计划可降低成本,方法是关闭在预先确定活动期后处于空闲状态的计算。 | Audit、Deny、Disabled | 1.0.0 |
| 应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://docs.azure.cn/machine-learning/concept-vulnerability-management?view=azureml-api-2#compute-instance。 | [parameters('effects')] | 1.0.3 |
| Azure 机器学习计算应位于虚拟网络中 | Azure 虚拟网络增强了 Azure 机器学习计算群集和实例的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | Audit、Disabled | 1.0.1 |
| Azure 机器学习计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy?view=azureml-api-2。 | Audit、Deny、Disabled | 2.1.0 |
| 应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-create-workspace-template#deploy-an-encrypted-workspace。 | Audit、Deny、Disabled | 1.0.3 |
| Azure 机器学习工作区应禁用公用网络访问 | 禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 机器学习工作区应使用用户分配的托管标识 | 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 更多信息请访问 https://docs.azure.cn/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Azure 机器学习计算以禁用本地身份验证方法 | 禁用本地身份验证方法,使机器学习计算需要专用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/security-controls-policy。 | 修改,已禁用 | 2.1.0 |
| 将 Azure 机器学习工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Azure 机器学习工作区配置为禁用公用网络访问 | 禁用对 Azure 机器学习工作区的公用网络访问,确保无法通过公共 Internet 访问工作区。 这有助于防范工作区的数据泄露风险。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://docs.azure.cn/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改,已禁用 | 1.0.3 |
| 为 Azure 机器学习工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/machine-learning/how-to-configure-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure 机器学习工作区的诊断设置配置为 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Azure 机器学习工作区时,请为 Azure 机器学习工作区部署诊断设置,以便将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用 Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。