Définitions intégrées d’Azure Policy pour Azure Automation
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure Automation. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure Automation
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le compte Automation doit avoir une identité managée | Utilisez les identités managées comme méthode recommandée pour l’authentification auprès des ressources Azure à partir des runbooks. L’identité managée pour l’authentification est plus sécurisée et élimine la surcharge de gestion associée à l’utilisation du compte d’identification dans votre code de runbook. | Audit, Désactivé | 1.0.0 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes Automation doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition des ressources de votre compte Automation en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour le compte Azure Automation | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer le compte Azure Automation pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. | Modifier, Désactivé | 1.0.0 |
| Configurer des comptes Azure Automation pour désactiver l'accès réseau public | Désactivez l’accès réseau public pour le compte Azure Automation afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Modifier, Désactivé | 1.0.0 |
| Configurer des connexions de point de terminaison privé sur des comptes Azure Automation | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Azure Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Les connexions de point de terminaison privé sur les comptes Automation doivent être activées | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.