Definiciones integradas de Azure Policy para Azure Cosmos DB
SE APLICA A: 
NoSQL MongoDB Cassandra Gremlin Table
Esta página es un índice de las definiciones de directivas integradas de Azure Policy en Azure Cosmos DB. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Cosmos DB
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: las cuentas de base de datos de Cosmos deben tener redundancia de zona | Las cuentas de base de datos de Cosmos se pueden configurar para tener redundancia de zona o no. Si "enableMultipleWriteLocations" está establecido en "true", todas las ubicaciones deben tener una propiedad "isZoneRedundant" y debe establecerse en "true". Si "enableMultipleWriteLocations" está establecido en "false", la ubicación principal ("failoverPriority" establecida en 0) debe tener una propiedad "isZoneRedundant" y debe establecerse en "true". La aplicación de esta directiva garantiza que las cuentas de base de datos de Cosmos estén configuradas correctamente para la redundancia de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de Azure Cosmos DB no deben superar el número máximo de días permitido desde la última regeneración de la clave de cuenta. | Vuelva a generar las claves en el tiempo especificado para mantener los datos más protegidos. | Audit, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Ubicaciones permitidas de Azure Cosmos DB | Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar recursos de Azure Cosmos DB. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | [parameters('policyEffect')] | 1.1.0 |
| Se debe deshabilitar el acceso de escritura de metadatos basado en la clave de Azure Cosmos DB | Esta directiva permite asegurarse de que se deshabilita el acceso de escritura de metadatos basado en la clave en todas las cuentas de Azure Cosmos DB. | append | 1.0.0 |
| Azure Cosmos DB debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| El rendimiento de Azure Cosmos DB debe ser limitado | Esta directiva le permite restringir el rendimiento máximo que puede especificar la organización al crear contenedores y bases de datos de Azure Cosmos DB mediante el proveedor de recursos. Bloquea la creación de recursos de escalabilidad automática. | auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Configuración de cuentas de base de datos Cosmos DB para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las cuentas de CosmosDB para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de CosmosDB de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modificar, Deshabilitado | 1.0.1 |
| Configurar las cuentas de CosmosDB con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| Cosmos DB debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar Advanced Threat Protection para cuentas de Cosmos DB | Esta directiva habilita Advanced Threat Protection en las cuentas de Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.