Partager via


Définitions intégrées d’Azure Policy pour Azure Cosmos DB

S’APPLIQUE À : NoSQL MongoDB Cassandra Gremlin Table

Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure Cosmos DB. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.

Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.

Azure Cosmos DB

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les comptes de base de données Cosmos doivent être redondants interzone Les comptes de base de données Cosmos peuvent être configurés pour être redondants interzones ou non. Si la valeur « enableMultipleWriteLocations » est définie sur « true », tous les emplacements doivent avoir une propriété « isZoneRedundant » et être définis sur « true ». Si la valeur « enableMultipleWriteLocations » est définie sur « false », l’emplacement principal (« failoverPriority » défini sur 0) doit avoir une propriété « isZoneRedundant » et être défini sur « true ». L’application de cette stratégie garantit que les comptes de base de données Cosmos sont correctement configurés pour la redondance de zone. Audit, Refuser, Désactivé 1.0.0-preview
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.1.0
Les comptes Azure Cosmos DB ne doivent pas autoriser le trafic provenant de tous les centres de données Azure Interdire la règle de pare-feu IP« 0.0.0.0 », ce qui autorise tout le trafic provenant de n’importe quel centre de données Azure. Pour en savoir plus, voir https://aka.ms/cosmosdb-firewall Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Cosmos DB ne doivent pas dépasser le nombre maximal de jours autorisés depuis la dernière regénération de clé de compte. Regénérez vos clés dans le délai spécifié pour protéger davantage vos données. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Localisations Azure Cosmos DB autorisées Cette stratégie vous permet de limiter les localisations que votre organisation peut spécifier pendant le déploiement de ressources Azure Cosmos DB. Utilisez-la pour appliquer vos exigences de conformité géographique. [parameters('policyEffect')] 1.1.0
L’accès en écriture des métadonnées basé sur une clé Azure Cosmos DB doit être désactivé Cette stratégie vous permet de vérifier que tous les comptes Azure Cosmos DB désactivent l’accès en écriture des métadonnées basé sur une clé. append 1.0.0
Azure Cosmos DB doit désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Refuser, Désactivé 1.0.0
Le débit Azure Cosmos DB doit être limité Cette stratégie vous permet de limiter le débit maximal que votre organisation peut spécifier pendant la création de bases de données et de conteneurs Azure Cosmos DB via le fournisseur de ressources. La création de ressources de mise à l’échelle automatique est bloquée. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Configurer les comptes de base de données Cosmos DB pour désactiver l’authentification locale Désactivez les méthodes d'authentification locale afin que vos comptes de base de données Cosmos DB requièrent exclusivement les identités Azure Active Directory pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modifier, Désactivé 1.1.0
Configurer les comptes CosmosDB pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource CosmosDB afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modifier, Désactivé 1.0.1
Configurer les comptes CosmosDB avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte CosmosDB, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Refuser, Désactivé 1.1.0
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer Advanced Threat Protection pour les comptes Cosmos DB Cette stratégie active Advanced Threat Protection sur les comptes Cosmos DB. DeployIfNotExists, Désactivé 1.0.0
Activer la journalisation par groupe de catégories pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts) sur Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour les comptes Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/cassandraclusters dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour microsoft.documentdb/cassandraclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/cassandraclusters dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour microsoft.documentdb/cassandraclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/cassandraclusters dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour microsoft.documentdb/cassandraclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/mongoclusters dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour microsoft.documentdb/mongoclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/mongoclusters dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour microsoft.documentdb/mongoclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.documentdb/mongoclusters dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour microsoft.documentdb/mongoclusters. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Étapes suivantes