Bagikan melalui


Definisi bawaan Azure Policy untuk Azure IoT Hub

Untuk kode sampel IoT Hub yang menunjukkan cara mengimplementasikan skenario IoT umum, lihat mulai cara IoT Hub. Ada mulai cepat untuk beberapa bahasa pemrograman termasuk C, Simpul.js, dan Python.

Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure IoT Hub. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.

Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.

Azure IoT Hub

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Azure IoT Hub harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Enkripsi data tidak aktif di Azure IoT Hub dengan kunci yang dikelola pelanggan menambahkan enkripsi lapisan kedua di atas kunci yang dikelola layanan default, memungkinkan kontrol pelanggan atas kunci, kebijakan rotasi kustom, dan kemampuan untuk mengelola akses ke data melalui kontrol akses kunci. Kunci yang dikelola pelanggan harus dikonfigurasi selama pembuatan Azure IoT Hub. Untuk informasi selengkapnya tentang cara mengonfigurasi kunci yang dikelola pelanggan, lihat https://aka.ms/iotcmk. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Data layanan provisikan perangkat IoT Hub harus dienkripsi menggunakan kunci yang dikelola pelanggan (CMK) Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh layanan provisi perangkat Azure IoT Hub Anda. Data dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan (CMK) biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/dps/CMK. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Azure App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/iothubdisablelocalauth. Audit, Tolak, Dinonaktifkan 1.0.0
Mengonfigurasi Azure IoT Hub untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokal agar akun Azure Automation Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/iothubdisablelocalauth. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi instans layanan provisi perangkat IoT Hub untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk instans provisi perangkat Azure IoT Hub Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/iotdpsvnet. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi instans layanan provisi perangkat Azure IoT Hub dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. DeployIfNotExists, Nonaktif 1.0.0
Menyebarkan - Mengonfigurasi Azure IoT Hubs dengan titik akhir privat Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan melalui sumber daya Azure yang dapat dijangkau. Kebijakan ini menyebarkan titik akhir privat untuk Azure IoT Hub Anda untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai Azure IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik Azure IoT Hub. DeployIfNotExists, Nonaktif 1.0.0
Mengaktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Event Hub Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.2.0
Mengaktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Analitik Log Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.1.0
Aktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Storage Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.1.0
Mengaktifkan pengelogan menurut grup kategori untuk microsoft.devices/provisioningservices ke Event Hub Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaktifkan pengelogan menurut grup kategori untuk microsoft.devices/provisioningservices ke Log Analytics Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaktifkan pengelogan menurut grup kategori untuk microsoft.devices/provisioningservices ke Storage Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk microsoft.devices/provisioningservices. DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa instans layanan provisi perangkat Azure IoT Hub tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan instans provisi perangkat Azure IoT Hub. Pelajari selengkapnya di: https://aka.ms/iotdpsvnet. Audit, Tolak, Dinonaktifkan 1.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Mengubah - Mengonfigurasi Azure IoT Hub untuk menonaktifkan akses jaringan publik Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. Kebijakan ini menonaktifkan akses jaringan publik pada sumber daya Azure IoT Hub. Ubah, Non-fungsikan 1.0.0
Titik akhir privat harus diaktifkan untuk Azure IoT Hub Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure IoT Hub. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. Audit, Dinonaktifkan 1.0.0
Akses jaringan publik di Azure IoT Hub harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. Audit, Tolak, Dinonaktifkan 1.0.0
Log sumber daya di Azure IoT Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 3.1.0

Langkah berikutnya