Definiciones de directivas integradas de Azure Policy para Azure Virtual Network
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure Virtual Network. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Virtual Network
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0-preview |
| Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. | Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Configuración de registros de flujo de auditoría para cada red virtual | Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Azure Application Gateway debe implementarse con el WAF de Azure | Requiere que los recursos de Azure Application Gateway se implementen con el WAF de Azure. | Audit, Deny, Disabled | 1.0.0 |
| La directiva de Azure Firewall debe habilitar la inspección de TLS dentro de las reglas de aplicación | Se recomienda habilitar la inspección de TLS para que todas las reglas de aplicación detecten, alerten y mitiguen la actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Premium debería configurar un certificado intermedio válido para habilitar la inspección de TLS | Configure un certificado intermedio válido y habilite la inspección de TLS de Azure Firewall Premium para detectar, mitigar y alertar por actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Azure VPN Gateway no deben usar la SKU "básica". | Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". | Audit, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Application Gateway debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Application Gateway tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Front Door debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Front Door tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La protección contra bots debe estar habilitada para el WAF de Azure Application Gateway | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Application Gateway | Audit, Deny, Disabled | 1.0.0 |
| La protección contra bots debe estar habilitada para el WAF de Azure Front Door | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Front Door | Audit, Deny, Disabled | 1.0.0 |
| La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) debe estar vacía en Firewall Policy Premium | La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. Sin embargo, se recomienda habilitar el IDPS para que todos los flujos de tráfico identifiquen mejor las amenazas conocidas. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Definición de la configuración de diagnóstico de los grupos de seguridad de red de Azure para un área de trabajo de Log Analytics | Implemente la configuración de diagnóstico en grupos de seguridad de red de Azure para transmitir registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar grupos de seguridad de red para habilitar el análisis de tráfico | El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure los grupos de seguridad de red para usar un área de trabajo, una cuenta de almacenamiento y una directiva de retención de registros de flujo específicas para análisis de tráfico | Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración de la red virtual para habilitar el registro de flujo y el análisis de tráfico | El análisis de tráfico y el registro de flujo se pueden habilitar para todas las redes virtuales hospedadas en una región determinada con la configuración proporcionada durante la creación de la directiva. Esta directiva no sobrescribe la configuración actual de las redes virtuales que ya tienen habilitada esta característica. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.1 |
| Configuración de redes virtuales para aplicar el área de trabajo, la cuenta de almacenamiento y el intervalo de retención para los registros de flujo y Análisis de tráfico | Si una red virtual ya tiene habilitado el análisis de tráfico, esta directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.2 |
| Cosmos DB debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino | Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | deployIfNotExists | 1.1.0 |
| Implementación de un recurso de registro de flujo con la red virtual de destino | Configura el registro de flujo para una red virtual específica. Permitirá registrar información sobre el flujo de tráfico IP mediante una red virtual. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | DeployIfNotExists, Disabled | 1.1.1 |
| Implementar Network Watcher al crear redes virtuales. | Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Habilitación de la regla de límite de frecuencia para protegerse frente a ataques DDoS en WAF de Azure Front Door | La regla de límite de frecuencia del firewall de aplicaciones web (WAF) de Azure para Azure Front Door controla el número de solicitudes permitidas desde una IP de cliente determinada a la aplicación durante la duración de la limitación de frecuencia. | Audit, Deny, Disabled | 1.0.0 |
| El centro de eventos debe usar un punto de conexión del servicio de red virtual | Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Disabled | 1.0.0 |
| La directiva de firewall Premium debe habilitar todas las reglas de firma del IDPS para supervisar todos los flujos de tráfico entrante y saliente | Se recomienda habilitar todas las reglas de firma del Sistema de detección y prevención de intrusiones (IDPS) para identificar mejor las amenazas conocidas en los flujos de tráfico. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| La directiva de firewall Premium debería habilitar el Sistema de detección y prevención de intrusiones (IDPS) | Activar el Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla. Para obtener más información sobre el Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. | deny | 1.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Migración de WAF de la configuración de WAF a la directiva de WAF en Application Gateway | Si solo tiene una configuración de WAF en lugar de una directiva de WAF, entonces es posible que quiera cambiar a la nueva directiva de WAF. En el futuro, la directiva de Firewall admitirá la configuración de directiva de WAF, los conjuntos de reglas administrados, las exclusiones y los grupos de reglas deshabilitados. | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben deshabilitar el reenvío IP | Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Las interfaces de red no deben tener direcciones IP públicas. | Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| SQL Server debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| La suscripción debería configurar Azure Firewall Premium para proporcionar una capa adicional de protección | Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados. Implemente Azure Firewall Premium en su suscripción y asegúrese de que todo el tráfico del servicio está protegido por Azure Firewall Premium. Para más información sobre Azure Firewall Premium, consulte https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales deben estar conectadas a una red virtual aprobada | Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. | Audit, Deny, Disabled | 1.0.0 |
| Las redes virtuales deben protegerse con Azure DDoS Protection. | Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection. Para más información, visite https://aka.ms/ddosprotectiondocs. | Modificación, auditoría y deshabilitación | 1.0.1 |
| Las redes virtuales deben usar la puerta de enlace de red virtual especificada | Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) debe habilitar todas las reglas de firewall para Application Gateway | Habilitar todas las reglas de Web Application Firewall (WAF) refuerza la seguridad de las aplicaciones y protege las aplicaciones web frente a vulnerabilidades comunes. Para obtener más información sobre Web Application Firewall (WAF) con Application Gateway, visite https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Etiquetas
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una etiqueta a los grupos de recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Agregar una etiqueta a los recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar una etiqueta a las suscripciones | Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los grupos de recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier recurso. Los recursos existentes se pueden corregir con una tarea de corrección. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en las suscripciones | Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Anexar una etiqueta y su valor desde el grupo de recursos | Anexa la etiqueta especificada y su valor del grupo de recursos cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los grupos de recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. No se aplica a los grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.1 |
| Heredar una etiqueta del grupo de recursos | Agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta del grupo de recursos si falta | Agrega la etiqueta especificada y su valor del grupo de recursos primario cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción | Agrega o reemplaza la etiqueta y el valor especificados de la suscripción contenedora cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción si falta | Agrega la etiqueta especificada y su valor en la suscripción contenedora cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Requerir una etiqueta y su valor en los grupos de recursos | Aplica una etiqueta obligatoria y su valor en los grupos de recursos. | deny | 1.0.0 |
| Requerir una etiqueta y su valor en los recursos | Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos. | deny | 1.0.1 |
| Solicitar una etiqueta en los grupos de recursos | Requiere que se use una etiqueta en los grupos de recursos. | deny | 1.0.0 |
| Solicitar una etiqueta en los recursos | Requiere que haya una etiqueta. No se aplica a los grupos de recursos. | deny | 1.0.1 |
| Requiere que los recursos no tengan ninguna etiqueta específica. | Deniega la creación de un recurso que contiene la etiqueta especificada. No se aplica a los grupos de recursos. | Audit, Deny, Disabled | 2.0.0 |
General
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ubicaciones permitidas | Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, y recursos que usan la región "global". | deny | 1.0.0 |
| Ubicaciones permitidas para grupos de recursos | Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | deny | 1.0.0 |
| Tipos de recursos permitidos | Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". | deny | 1.0.0 |
| La ubicación del recurso de auditoría coincide con la del grupo de recursos | Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. | auditoría | 2.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Configuración de suscripciones para configurar características en versión preliminar | Esta directiva evalúa las características en versión preliminar de la suscripción existente. Las suscripciones se pueden corregir para registrarse en una nueva característica en versión preliminar. Las nuevas suscripciones no se registrarán automáticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| No permitir la eliminación de tipos de recursos | Esta directiva permite especificar los tipos de recursos que la organización puede proteger frente a la eliminación accidental con el bloqueo de las llamadas de eliminación mediante el efecto de acción de denegación. | DenyAction, Disabled | 1.0.1 |
| No permitir recursos de M365 | Bloquee la creación de recursos de M365. | Audit, Deny, Disabled | 1.0.0 |
| No permitir recursos de MCPP | Bloquee la creación de recursos de MCPP. | Audit, Deny, Disabled | 1.0.0 |
| Excluir recursos de costos de uso | Esta directiva le permite excluir los recursos de costos de uso. Los costos de uso incluyen elementos como el almacenamiento medido y los recursos de Azure que se facturan en función del uso. | Audit, Deny, Disabled | 1.0.0 |
| Tipos de recursos no permitidos | Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. | Audit, Deny, Disabled | 2.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.