Définitions intégrées d’Azure Policy pour Azure IoT Hub
Pour obtenir un exemple de code IoT Hub qui montre comment implémenter des scénarios IoT courants, consultez les Guides de démarrage rapide IoT Hub. Il existe des guides de démarrage rapide pour différents langages de programmation, tels que C, Node.js et Python.
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure IoT Hub. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure IoT Hub
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Azure IoT Hub doit utiliser une clé gérée par le client pour chiffrer les données au repos | Le chiffrement des données au repos dans IoT Hub avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès par clé. Les clés gérées par le client doivent être configurées lors de la création de l’instance IoT Hub. Pour plus d’informations sur la configuration des clés gérées par le client, consultez https://aka.ms/iotcmk. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Dans Azure IoT Hub, les méthodes d’authentification locale doivent être désactivées pour les API de service | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’Azure IoT Hub exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer Azure IoT Hub pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locale afin que votre instance Azure IoT Hub exige exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. | Modifier, Désactivé | 1.0.0 |
| Configurer des instances de service d’approvisionnement d’appareils IoT Hub pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre instance de provisionnement d’appareils IoT Hub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. | Modifier, Désactivé | 1.0.0 |
| Configurer des instances de service de provisionnement d’appareils IoT Hub avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service d’approvisionnement d’appareils IoT Hub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déploiement : Configurer Azure IoT Hub avec des points de terminaison privés | Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre IoT Hub sans que le trafic soit envoyé au point de terminaison public d’IoT Hub. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour microsoft.devices/provisioningservices sur Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un Event Hub pour microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour microsoft.devices/provisioningservices sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour microsoft.devices/provisioningservices à Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un compte Stockage pour microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les instances du service d’approvisionnement d’appareils IoT Hub doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que l’instance de service de provisionnement d’appareils IoT Hub n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des instances d’approvisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Modifier - Configurer Azure IoT Hub pour désactiver l’accès au réseau public | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. | Modifier, Désactivé | 1.0.0 |
| Le point de terminaison privé doit être activé pour IoT Hub | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à IoT Hub. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | Audit, Désactivé | 1.0.0 |
| L’accès au réseau public sur Azure IoT Hub doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.