Azure Policy předdefinované definice zásad pro Azure API Management

Tato stránka je indexem Azure Policy předdefinovaných definic zásad pro Azure API Management. Další Azure Policy předdefinované pro ostatní služby najdete v tématu Azure Policy předdefinovaných definic. Ukázky zásad API Management najdete v tématu API Management – index zásad.

Název každé předdefinované definice zásad odkazuje na definici zásad v Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy GitHubu.

Azure API Management

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
API Management rozhraní API by měla používat jenom šifrované protokoly. Rozhraní API by měla používat šifrované protokoly. Rozhraní API by neměla používat nešifrované protokoly, jako je HTTP nebo WS. Audit, Zakázáno, Odepřít 2.0.1
API Management volání back-endů rozhraní API by se měla ověřit. Volání z API Management do back-endů by měla používat nějakou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric. Audit, Zakázáno, Odepřít 1.0.1
API Management volání back-endů rozhraní API by neměla obejít kryptografický otisk certifikátu ani ověření názvu. Volání z API Management do back-endů rozhraní API by měla ověřit kryptografický otisk certifikátu a název certifikátu. Audit, Zakázáno, Odepřít 1.0.1
API Management by neměl být povolený koncový bod direct API Management Azure API Management poskytuje rozhraní REST API přímé správy, které může obejít určitá omezení rozhraní API založeného na azure Resource Manager a ve výchozím nastavení by nemělo být povolené. Audit, Zakázáno, Odepřít 1.0.1
API Management minimální verze rozhraní API by měla být nastavená na verzi 2019-12-01 nebo novější. Aby se zabránilo sdílení tajných kódů služeb s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na verzi 2019-12-01 nebo vyšší. Audit, Odepřít, Zakázáno 1.0.1
API Management tajné kódy pojmenovaných hodnot by měly být uložené ve službě Azure KeyVault. Tajné kódy odkazované v pojmenovaných hodnotách by měly ukládat hodnoty v Azure KeyVault místo v úložišti pojmenovaných hodnot. Audit, Zakázáno, Odepřít 1.0.1
API Management služba by měla používat skladovou položku, která podporuje virtuální sítě. Díky podporovaným skladovým úrovním API Management se nasazení služby do virtuální sítě odemkne pokročilými API Management síťovými a bezpečnostními funkcemi, které poskytují větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://aka.ms/apimvnet. Audit, Odepřít, Zakázáno 1.0.0
API Management služby by měly zakázat přístup k veřejné síti Pokud chcete zlepšit zabezpečení služeb API Management, ujistěte se, že koncové body nejsou vystavené veřejnému internetu. Některé veřejné koncové body jsou zpřístupněny službami API Management, které podporují scénáře uživatelů, například přímý přístup k rozhraní API pro správu, správu konfigurace pomocí Gitu, konfigurace bran hostovaných v místním prostředí. Pokud se některé z těchto funkcí nepoužívají, měly by být příslušné koncové body zakázané. AuditIfNotExists, Zakázáno 1.0.0
API Management služby by měly používat virtuální síť Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetově směrovatelné sítě, ke které řídíte přístup. Tyto sítě se pak dají připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, zakázáno 1.0.1
API Management předplatná by neměla být vymezena v oboru všech rozhraní API. API Management předplatná by měla být vymezena na úrovni produktu nebo jednotlivého rozhraní API místo všech rozhraní API, která by mohla vystavit všechna rozhraní API v instanci API Management. Audit, Zakázáno, Odepřít 1.0.0
Konfigurace služeb API Management pro zakázání přístupu k veřejné síti Pokud chcete zlepšit zabezpečení služeb API Management, zakažte veřejné koncové body. Některé veřejné koncové body jsou zpřístupněny službami API Management, které podporují scénáře uživatelů, například přímý přístup k rozhraní API pro správu, správu konfigurace pomocí Gitu, konfigurace bran hostovaných v místním prostředí. Pokud se některé z těchto funkcí nepoužívají, měly by být příslušné koncové body zakázané. DeployIfNotExists, Disabled 1.0.0

Další kroky