Définitions intégrées d’Azure Policy pour Azure Batch
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure Batch. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure Batch
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. | Audit, Refuser, Désactivé | 1.0.1 |
| Le chiffrement de disque doit être activé sur les pools de Azure Batch | L’activation de Azure Batch le chiffrement de disque garantit que les données sont toujours chiffrées au repos sur votre nœud de calcul Azure Batch. En savoir plus sur le chiffrement de disque dans Batch à https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Désactivé, Refus | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Batch | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer des comptes batch pour désactiver l’authentification locale | Désactivez les méthodes d’authentification d’emplacement de sorte que vos comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. | Modifier, Désactivé | 1.0.0 |
| Configurer les comptes Batch pour désactiver l'accès au réseau public | Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. | Modifier, Désactivé | 1.0.0 |
| Configurer des comptes Batch avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des comptes Batch, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de compte Batch sur Event Hub | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un hub d’événements régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de compte batch sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un espace de travail Log Analytics régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Batch (microsoft.batch/batchaccounts) sur Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un event Hub pour les comptes Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Batch (microsoft.batch/batchaccounts) sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les comptes Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Batch (microsoft.batch/batchaccounts) pour Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un compte Stockage pour les comptes Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Des règles d’alerte de métrique doivent être configurées sur les comptes Batch | Auditez la configuration des règles d’alerte de métrique sur le compte Batch pour activer la métrique requise. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les connexions de point de terminaison privé sur les comptes Batch doivent être activées | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Batch sur https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’accès au réseau public doit être désactivé pour les comptes Batch | Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.