Definizioni predefinite di Criteri di Azure per Azure Cosmos DB
SI APPLICA A: 
NoSQL MongoDB Cassandra Gremlin Tabella
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Azure Cosmos DB. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Azure Cosmos DB
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Gli account del database Cosmos devono essere con ridondanza della zona | Gli account del database Cosmos possono essere configurati in modo che siano ridondanti o meno della zona. Se 'enableMultipleWriteLocations' è impostato su 'true', tutte le posizioni devono avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. Se 'enableMultipleWriteLocations' è impostato su 'false', il percorso primario ('failoverPriority' impostato su 0) deve avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. L'applicazione di questi criteri garantisce che gli account del database Cosmos siano configurati in modo appropriato per la ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.1.0 |
| Gli account Azure Cosmos DB non devono consentire il traffico da tutti i data center di Azure | Non consentire la regola del firewall IP, '0.0.0.0', che consente tutto il traffico proveniente da qualsiasi data center di Azure. Per altre informazioni: https://aka.ms/cosmosdb-firewall | Audit, Deny, Disabled | 1.0.0 |
| Gli account Azure Cosmos DB non devono superare il numero massimo di giorni consentiti dopo la rigenerazione dell'ultima chiave dell'account. | Rigenerare le chiavi nel tempo specificato per mantenere i dati più protetti. | Audit, Disabled | 1.0.0 |
| Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Località consentite per Azure Cosmos DB | Questo criterio consente di limitare le località che possono essere specificate dall'organizzazione durante la distribuzione delle risorse Azure Cosmos DB. Usare per imporre requisiti di conformità geografica. | [parameters('policyEffect')] | 1.1.0 |
| L'accesso in scrittura ai metadati basati su chiave di Azure Cosmos DB deve essere disabilitato | Questo criterio consente di garantire che per tutti gli account Azure Cosmos DB sia disabilitato l'accesso in scrittura ai metadati basati su chiave. | append | 1.0.0 |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| La velocità effettiva di Azure Cosmos DB deve essere limitata | Questo criterio consente di limitare la velocità effettiva massima che l'organizzazione può specificare durante la creazione di contenitori e database di Azure Cosmos DB tramite il provider di risorse. Blocca la creazione di risorse di scalabilità automatica. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Configurare gli account del database Cosmos DB per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account di database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modifica, disattivato | 1.1.0 |
| Configurare gli account CosmosDB per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa CosmosDB in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modifica, disattivato | 1.0.1 |
| Configurare gli account CosmosDB con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account CosmosDB, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Per gli account di database Cosmos DB i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Distribuisci Advanced Threat Protection per gli account Cosmos DB | Questo criterio abilita Advanced Threat Protection negli account Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per