Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы автоматизации Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Azure Automation
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетная запись службы автоматизации должна иметь управляемое удостоверение | Используйте управляемые удостоверения в качестве рекомендуемого метода проверки подлинности в ресурсах Azure из модулей runbook. Управляемое удостоверение для проверки подлинности является более безопасным и устраняет затраты на управление, связанные с использованием учетной записи RunAs в коде runbook. | Аудит, отключено | 1.0.0 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Учетные записи службы автоматизации должны отключать доступ из общедоступных сетей | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете ограничить уязвимость для ресурсов учетной записи службы автоматизации, создав вместо этого частные конечные точки. См. дополнительные сведения: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для учетных записей службы автоматизации Azure методы локальной проверки подлинности должны быть отключены | Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что для проверки подлинности учетных записей службы автоматизации Azure требуются исключительно удостоверения Azure Active Directory. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Настройка службы автоматизации Azure для отключения локальной проверки подлинности | Отключите локальные способы проверки подлинности, чтобы для проверки подлинности учетных записей службы автоматизации Azure требовались исключительно удостоверения Azure Active Directory. | Изменить, Отключено | 1.0.0 |
| Настройка отключения доступа из общедоступной сети для учетных записей службы автоматизации Azure | Отключите доступ к общедоступной сети для учетной записи службы автоматизации Azure, чтобы он был недоступен через общедоступный Интернет. Эта конфигурация помогает обеспечить защиту от утечки данных. Вы можете ограничить уязвимость ресурсов учетной записи службы автоматизации, создав вместо этого частные конечные точки. См. дополнительные сведения: https://aka.ms/privateendpoints. | Изменить, Отключено | 1.0.0 |
| Настройка подключений частной конечной точки для учетных записей службы автоматизации Azure | Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей службы автоматизации Azure в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в службе автоматизации Azure: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для учетных записей службы автоматизации (microsoft.automation/automationaccounts). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.2.0 |
| Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для учетных записей службы автоматизации (microsoft.automation/automationaccounts). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| Включение ведения журнала по группе категорий для учетных записей службы автоматизации (microsoft.automation/automationaccounts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для учетных записей службы автоматизации (microsoft.automation/automationaccounts). | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| Подключения частной конечной точки для учетных записей службы автоматизации должны быть включены | Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей службы автоматизации в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в службе автоматизации Azure: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | AuditIfNotExists, отключено | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.