Definiciones integradas de Azure Policy para Azure IoT Hub
Para obtener código de ejemplo de IoT Hub que muestre cómo implementar escenarios comunes de IoT, consulte los inicios rápidos de IoT Hub. Hay inicios rápidos para varios lenguajes de programación, como C, Node.js y Python.
Esta página es un índice de las definiciones de directivas integradas de Azure Policy en Azure IoT Hub. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure IoT Hub
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Azure IoT Hub debe usar una clave administrada por el cliente para cifrar los datos en reposo | El cifrado de datos en reposo en IoT Hub con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas, permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos a través del control de acceso de claves. Las claves administradas por el cliente deben configurarse durante la creación de IoT Hub. Para más información sobre cómo configurar las claves administradas por el cliente, vea https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) | Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Azure IoT Hub debe tener deshabilitados los métodos de autenticación local para las API de servicio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación de la API de servicio. Más información en: https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de Azure IoT Hub para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/iothubdisablelocalauth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las instancias del servicios de aprovisionamiento de dispositivos de IoT Hub para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para su instancia de aprovisionamiento de dispositivos de IoT Hub para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/iotdpsvnet. | Modificar, Deshabilitado | 1.0.0 |
| Configurar instancias del servicio de aprovisionamiento de dispositivos de IoT Hub con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, puede reducir los riesgos de pérdida de datos. Obtenga más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar instancias de Azure IoT Hub con puntos de conexión privados | Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Hub, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Hub sin necesidad de enviar el tráfico al punto de conexión público de IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para microsoft.devices/provisioningservices en el Centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.devices/provisioningservices en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.devices/provisioningservices en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las instancias de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Modificación: configurar instancias de Azure IoT Hub para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. | Modificar, Deshabilitado | 1.0.0 |
| El punto de conexión privado debe estar habilitado para IoT Hub | Las conexiones de punto de conexión privado aplican una comunicación segura mediante la habilitación de la conectividad privada con IoT Hub. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | Audit, Disabled | 1.0.0 |
| Debe deshabilitarse el acceso a la red pública en Azure IoT Hub | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de