Definisi bawaan Azure Policy untuk Azure Cosmos DB
BERLAKU UNTUK: 
NoSQL MongoDB Cassandra Gremlin Meja
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Cosmos DB. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure Cosmos DB
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Akun Database Cosmos harus Zona Redundan | Akun Database Cosmos dapat dikonfigurasi menjadi Zona Redundan atau tidak. Jika 'enableMultipleWriteLocations' diatur ke 'true' maka semua lokasi harus memiliki properti 'isZoneRedundant' dan harus diatur ke 'true'. Jika 'enableMultipleWriteLocations' diatur ke 'false' maka lokasi utama ('failoverPriority' diatur ke 0) harus memiliki properti 'isZoneRedundant' dan harus diatur ke 'true'. Memberlakukan kebijakan ini memastikan Akun Database Cosmos dikonfigurasi dengan tepat untuk redundansi zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Akun Azure Cosmos DB tidak boleh mengizinkan lalu lintas dari semua pusat data Azure | Larang aturan IP Firewall, '0.0.0.0', yang memungkinkan semua lalu lintas dari pusat data Azure mana pun. Pelajari lebih lanjut di https://aka.ms/cosmosdb-firewall | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB tidak boleh melebihi jumlah hari maksimum yang diizinkan sejak regenerasi kunci akun terakhir. | Regenerasi kunci Anda dalam waktu yang ditentukan untuk menjaga data Anda lebih terlindungi. | Audit, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Lokasi yang diizinkan Azure Cosmos DB | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menyebarkan sumber daya Azure Cosmos DB. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | [parameters('policyEffect')] | 1.1.0 |
| Akses tulis metadata berbasis kunci Azure Cosmos DB harus dinonaktifkan | Kebijakan ini memungkinkan Anda memastikan semua akun Azure Cosmos DB menonaktifkan akses tulis metadata berbasis kunci. | append | 1.0.0 |
| Azure Cosmos DB harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun CosmosDB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun CosmosDB Anda. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Throughput Azure Cosmos DB harus dibatasi | Kebijakan ini memungkinkan Anda membatasi throughput maksimum yang dapat ditentukan organisasi saat membuat database dan kontainer Azure Cosmos DB melalui penyedia sumber daya. Ini memblokir pembuatan sumber daya skala otomatis. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi akun database Cosmos DB untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Ubah, Non-fungsikan | 1.1.0 |
| Mengonfigurasi akun CosmosDB untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya CosmosDB Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Ubah, Non-fungsikan | 1.0.1 |
| Konfigurasikan akun CosmosDB dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Cosmos DB harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Cosmos DB yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Menyebarkan Perlindungan Ancaman Tingkat Lanjut untuk Akun Cosmos DB | Kebijakan ini mengaktifkan Perlindungan Ancaman Lanjutan di seluruh akun Cosmos DB. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Cosmos DB (microsoft.documentdb/databaseaccounts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk akun Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/cassandraclusters ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/cassandraclusters ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/cassandraclusters ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/mongoclusters ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/mongoclusters ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.documentdb/mongoclusters ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk