Azure Virtual Network에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Virtual Network에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Virtual Network
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: Container Registry는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Container Registry를 감사합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| 모든 Azure 가상 네트워크 게이트웨이 연결에 사용자 지정 IPsec/IKE 정책을 적용해야 함 | 이 정책은 모든 Azure 가상 네트워크 게이트웨이 연결이 사용자 지정 Ipsec(인터넷 프로토콜 보안)/IKE(Internet Key Exchange) 정책을 사용함을 보장합니다. 지원되는 알고리즘 및 키 수준 - https://aka.ms/AA62kb0 | 감사, 사용 안 함 | 1.0.0 |
| 모든 흐름 로그 리소스가 사용 상태여야 함 | 흐름 로그 리소스를 감사하여 흐름 로그 상태를 사용할 수 있는지 확인합니다. 흐름 로그를 사용하도록 설정하면 IP 트래픽 흐름에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| App Service 앱은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 서비스 엔드포인트를 사용하여 Azure Virtual Network에서 선택한 서브넷의 앱에 대한 액세스를 제한합니다. App Service 서비스 엔드포인트에 대해 자세히 알아보려면 https://aka.ms/appservice-vnet-service-endpoint를 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 모든 가상 네트워크에 대한 감사 흐름 로그 구성 | 가상 네트워크에 대한 감사를 통해 흐름 로그가 구성되었는지 확인합니다. 흐름 로그를 사용하면 가상 네트워크를 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Application Gateway는 Azure WAF와 함께 배포되어야 합니다. | Azure WAF와 함께 배포하려면 Azure Application Gateway 리소스가 필요합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Firewall 정책은 애플리케이션 규칙 내에서 TLS 검사를 사용하도록 설정합니다. | HTTPS에서 악의적인 작업을 검색, 경고 및 완화하기 위해 모든 애플리케이션 규칙에 대해 TLS 검사를 사용하도록 설정하는 것이 좋습니다. Azure Firewall을 사용한 TLS 검사에 대해 자세히 알아보려면 https://aka.ms/fw-tlsinspect를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Firewall 프리미엄은 TLS 검사를 사용하도록 설정하기 위해 유효한 중간 인증서를 구성해야 함 | 유효한 중간 인증서를 구성하고 Azure Firewall 프리미엄 TLS 검사를 사용하도록 설정하여 HTTPS에서 악의적인 활동을 탐지, 경고 및 완화합니다. Azure Firewall을 사용한 TLS 검사에 대해 자세히 알아보려면 https://aka.ms/fw-tlsinspect를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure VPN Gateway에서는 '기본' SKU를 사용할 수 없음 | 이 정책은 VPN Gateway가 '기본' SKU를 사용하지 않음을 보장합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Application Gateway의 Azure Web Application Firewall은 요청 본문 검사를 사용하도록 설정해야 함 | Azure Application Gateway에 연결된 Web Application Firewall에 요청 본문 검사가 사용하도록 설정되어 있는지 확인합니다. 이를 통해 WAF는 HTTP 헤더, 쿠키 또는 URI에서 평가되지 않을 수 있는 HTTP 본문 내의 속성을 검사할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door의 Azure Web Application Firewall은 요청 본문 검사를 사용하도록 설정해야 함 | Azure Front Door에 연결된 Web Application Firewall에 요청 본문 검사가 사용하도록 설정되어 있는지 확인합니다. 이를 통해 WAF는 HTTP 헤더, 쿠키 또는 URI에서 평가되지 않을 수 있는 HTTP 본문 내의 속성을 검사할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Azure Application Gateway WAF에 대해 봇 보호를 사용하도록 설정해야 합니다. | 이 정책은 모든 Azure Application Gateway WAF(Web Application Firewall) 정책에서 봇 보호가 사용하도록 설정되도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door WAF에 대해 봇 보호를 사용하도록 설정해야 합니다. | 이 정책은 모든 Azure Front Door WAF(Web Application Firewall) 정책에서 봇 보호가 사용하도록 설정되도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄에서 IDPS(침입 탐지 및 방지 시스템)의 바이패스 목록은 비어 있어야 함 | IDPS(침입 탐지 및 방지 시스템) 바이패스 목록을 사용하면 바이패스 목록에 지정된 IP 주소, 범위 및 서브넷에 대한 트래픽을 필터링하지 않을 수 있습니다. 그러나 알려진 위협을 더 잘 식별하기 위해 모든 트래픽 흐름에 대해 IDPS를 사용하도록 설정하는 것이 좋습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템) 서명에 대한 자세한 내용은 https://aka.ms/fw-idps-signature를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Network Security Groups에 대한 진단 설정을 Log Analytics 작업 영역으로 구성 | Azure 네트워크 보안 그룹에 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 트래픽 분석을 사용하도록 네트워크 보안 그룹 구성 | 정책을 만드는 동안 제공된 설정을 사용하여 특정 지역에서 호스트되는 모든 네트워크 보안 그룹에 대해 트래픽 분석을 사용하도록 설정할 수 있습니다. 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책에서 해당 설정을 덮어쓰지 않습니다. 흐름 로그가 없는 네트워크 보안 그룹에 대해 흐름 로그도 사용하도록 설정됩니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 트래픽 분석에 특정 작업 영역, 스토리지 계정 및 흐름 로그 보존 정책을 사용하도록 네트워크 보안 그룹 구성 | 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책을 만드는 동안 제공된 설정을 사용하여 정책에서 기존 설정을 덮어씁니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 흐름 로그 및 트래픽 분석을 사용하도록 설정하도록 가상 네트워크 구성 | 정책을 만드는 동안 제공된 설정을 사용하여 특정 지역에서 호스트되는 모든 가상 네트워크에 대해 트래픽 분석 및 흐름 로그를 사용하도록 설정할 수 있습니다. 이 정책은 이미 이러한 기능이 사용하도록 설정된 가상 네트워크에 대한 현재 설정을 덮어쓰지 않습니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.1.1 |
| 흐름 로그 및 트래픽 분석에 작업 영역, 스토리지 계정 및 보존 간격을 적용하도록 가상 네트워크 구성 | 가상 네트워크에 트래픽 분석이 이미 사용하도록 설정되어 있는 경우 이 정책은 기존 설정을 정책을 만드는 동안 제공된 설정으로 덮어씁니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| Cosmos DB는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Cosmos DB를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포 | 특정 네트워크 보안 그룹에 대한 흐름 로그를 구성합니다. 이를 통해 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그를 사용하면 알 수 없거나 원하지 않는 트래픽을 식별하고, 네트워크 격리 및 엔터프라이즈 액세스 규칙 준수를 확인하고, 손상된 IP 및 네트워크 인터페이스에서 네트워크 흐름을 분석할 수 있습니다. | deployIfNotExists | 1.1.0 |
| 대상 가상 네트워크를 사용하여 흐름 로그 리소스 배포 | 특정 가상 네트워크에 대한 흐름 로그를 구성합니다. 가상 네트워크를 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그를 사용하면 알 수 없거나 원하지 않는 트래픽을 식별하고, 네트워크 격리 및 엔터프라이즈 액세스 규칙 준수를 확인하고, 손상된 IP 및 네트워크 인터페이스에서 네트워크 흐름을 분석할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.1.1 |
| 가상 네트워크를 만들 때 네트워크 감시자 배포 | 이 정책은 가상 네트워크를 사용하여 지역에 네트워크 감시자 리소스를 만듭니다. 네트워크 감시자 인스턴스를 배포하는 데 사용되는 networkWatcherRG라는 리소스 그룹이 있는지 확인해야 합니다. | DeployIfNotExists | 1.0.0 |
| 속도 제한 규칙을 사용하여 Azure Front Door WAF의 DDoS 공격으로부터 보호 | Azure Front Door에 대한 Azure WAF(Web Application Firewall) 속도 제한 규칙은 속도 제한 기간 동안 특정 클라이언트 IP 주소에서 애플리케이션으로 허용되는 요청 수를 제어합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 이벤트 허브는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 이벤트 허브를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄은 모든 인바운드 및 아웃바운드 트래픽 흐름을 모니터링하기 위해 모든 IDPS 서명 규칙을 사용하도록 설정해야 함 | 트래픽 흐름에서 알려진 위협을 더 잘 식별할 수 있도록 모든 IDPS(침입 탐지 및 방지 시스템) 서명 규칙을 사용하도록 설정하는 것이 좋습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템) 서명에 대한 자세한 내용은 https://aka.ms/fw-idps-signature를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄은 IDPS(침입 탐지 및 방지 시스템)를 사용하도록 설정해야 함 | IDPS(침입 탐지 및 방지 시스템)를 사용하도록 설정하면 네트워크에서 악의적인 활동을 모니터링하고, 이 활동에 대한 정보를 로그하고, 보고하고, 필요할 때 차단할 수 있습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템)에 대한 자세한 내용은 https://aka.ms/fw-idps를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 | 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.1.0 |
| 게이트웨이 서브넷은 네트워크 보안 그룹을 사용하여 구성해서는 안 됨 | 이 정책은 게이트웨이 서브넷이 네트워크 보안 그룹으로 구성된 경우 거부합니다. 네트워크 보안 그룹을 게이트웨이 서브넷에 할당하면 게이트웨이가 작동을 중지합니다. | deny | 1.0.0 |
| Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Application Gateway의 WAF 구성에서 WAF 정책으로 WAF 마이그레이션 | WAF 정책 대신 WAF 구성이 있는 경우 새 WAF 정책으로 이동하는 것이 좋습니다. 앞으로 방화벽 정책은 WAF 정책 설정, 관리 규칙 집합, 제외 및 사용하지 않는 규칙 그룹을 지원합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 네트워크 인터페이스가 IP 전달을 사용하지 않아야 함 | 이 정책은 IP 전달을 사용하도록 설정된 네트워크 인터페이스를 거부합니다. IP 전달 설정은 Azure에서 네트워크 인터페이스에 대한 원본과 대상을 확인하지 않도록 합니다. 네트워크 보안 팀에서 검토해야 합니다. | deny | 1.0.0 |
| 네트워크 인터페이스에 공용 IP를 사용할 수 없음 | 이 정책은 공용 IP로 구성된 네트워크 인터페이스를 거부합니다. 공용 IP 주소를 사용하면 인터넷 리소스에서 Azure 리소스로 인바운드 방식으로 통신하고, Azure 리소스에서 인터넷으로 아웃바운드 방식으로 통신할 수 있습니다. 네트워크 보안 팀에서 검토해야 합니다. | deny | 1.0.0 |
| Network Watcher 흐름 로그에 트래픽 분석을 사용할 수 있어야 함 | 트래픽 분석은 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. Azure 구독 전체에서 네트워크 활동을 시각화하고, 핫스폿을 식별하고, 보안 위협을 식별하고, 트래픽 흐름 패턴을 파악하고, 네트워크 오류를 정확하게 파악하는 데 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| SQL Server는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 SQL Server를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 구독은 추가 보호 계층을 제공하도록 Azure Firewall 프리미엄을 구성해야 함 | Azure Firewall 프리미엄은 매우 민감하고 규제된 환경의 요구 사항을 충족하는 고급 위협 방지를 제공합니다. 구독에 Azure Firewall 프리미엄을 배포하고 모든 서비스 트래픽이 Azure Firewall 프리미엄으로 보호되도록 합니다. Azure Firewall 프리미엄에 대한 자세한 내용은 https://aka.ms/fw-premium을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 가상 머신은 승인된 가상 네트워크에 연결되어야 함 | 이 정책은 승인되지 않은 가상 네트워크에 연결된 모든 가상 머신을 감사합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 가상 네트워크는 Azure DDoS Protection으로 보호되어야 합니다. | Azure DDoS Protection을 사용하여 볼륨 및 프로토콜 공격으로부터 가상 네트워크를 보호합니다. 자세한 내용은 https://aka.ms/ddosprotectiondocs을 참조하세요. | 수정, 감사, 사용 안 함 | 1.0.1 |
| 가상 네트워크는 지정된 가상 네트워크 게이트웨이를 사용해야 함 | 이 정책은 기본 경로가 지정된 가상 네트워크 게이트웨이를 가리키지 않는 경우 모든 가상 네트워크를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| VPN 게이트웨이는 지점 및 사이트 간 사용자에 대해 Azure AD(Azure Active Directory) 인증만 사용해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 VPN Gateway가 인증에 Azure Active Directory ID만 사용하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant에서 Azure AD 인증에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| WAF(Web Application Firewall)는 Application Gateway에 대한 모든 방화벽 규칙을 사용하도록 설정해야 함 | 모든 WAF(Web Application Firewall) 규칙을 사용하도록 설정하면 애플리케이션 보안이 강화되고 일반적인 취약성으로부터 웹 애플리케이션을 보호할 수 있습니다. Application Gateway가 포함된 WAF(Web Application Firewall)에 대해 자세히 알아보려면 https://aka.ms/waf-ag를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 | Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 | Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
태그
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 리소스 그룹에 태그 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 리소스에 태그 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가합니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에 태그 추가 또는 바꾸기 | 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 리소스에 태그 추가 또는 바꾸기 | 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 또는 바꾸기 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에서 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.0 |
| 리소스 그룹에서 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스 그룹이 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스 그룹의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.0 |
| 리소스에 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 리소스 그룹에는 적용되지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.1 |
| 리소스 그룹에서 태그 상속 | 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 없는 경우 리소스 그룹에서 태그 상속 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 구독에서 태그 상속 | 리소스를 만들거나 업데이트할 때 포함된 구독에서 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 누락된 경우 구독에서 태그 상속 | 이 태그를 누락한 리소스를 만들거나 업데이트할 때 포함된 구독의 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 리소스 그룹에 태그 및 해당 값 필요 | 리소스 그룹에 필요한 태그와 해당 값을 적용합니다. | deny | 1.0.0 |
| 리소스에 태그 및 해당 값 필요 | 필수 태그와 해당 값을 적용합니다. 리소스 그룹에는 적용되지 않습니다. | deny | 1.0.1 |
| 리소스 그룹에 태그 필요 | 리소스 그룹에 태그 사용을 적용합니다. | deny | 1.0.0 |
| 리소스에 태그 필요 | 태그의 존재를 적용합니다. 리소스 그룹에는 적용되지 않습니다. | deny | 1.0.1 |
| 리소스에 특정 태그가 없어야 합니다. | 지정된 태그가 포함된 리소스 만들기를 거부합니다. 리소스 그룹에는 적용되지 않습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
일반
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용되는 위치 | 이 정책을 사용하면 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. 리소스 그룹, Microsoft.AzureActiveDirectory/b2cDirectories 및 '글로벌' 지역을 사용하는 리소스를 제외합니다. | deny | 1.0.0 |
| 리소스 그룹에 허용된 위치 | 이 정책을 통해 조직에서 리소스 그룹을 만들 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | deny | 1.0.0 |
| 허용되는 리소스 유형 | 이 정책을 사용하면 조직에서 배포할 수 있는 리소스 유형을 지정할 수 있습니다. '태그' 및 '위치'를 지원하는 리소스 유형만 이 정책의 영향을 받습니다. 모든 리소스를 제한하려면 이 정책을 복제하고 '모드'를 '모두'로 변경하세요. | deny | 1.0.0 |
| 리소스 위치가 리소스 그룹 위치와 일치하는지 감사 | 리소스 위치가 리소스 그룹 위치와 일치하는지 감사 | 감사 | 2.0.0 |
| 사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
| 미리 보기 기능을 설정하려면 구독을 구성합니다. | 이 정책은 기존 구독의 미리 보기 기능을 평가합니다. 새로운 미리 보기 기능에 등록하기 위해 구독을 수정할 수 있습니다. 신규 구독은 자동으로 등록되지 않습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 리소스 종류 삭제를 허용하지 않음 | 이 정책을 사용하면 거부 작업 효과를 사용하여 삭제 호출을 차단함으로써 조직이 실수로 삭제되지 않도록 보호할 수 있는 리소스 종류를 지정할 수 있습니다. | 거부 작업, 사용하지 않도록 설정됨 | 1.0.1 |
| M365 리소스 허용 안 함 | M365 리소스 만들기를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| MCPP 리소스 허용 안 함 | MCPP 리소스 만들기를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 사용 비용 리소스 제외 | 이 정책을 사용하면 사용 비용 리소스를 제외할 수 있습니다. 사용 비용에는 측정된 스토리지 및 사용량에 따라 요금이 청구되는 Azure 리소스 등이 포함됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 허용되지 않는 리소스 유형 | 사용자 환경에 배포할 수 있는 리소스 종류를 제한합니다. 리소스 종류를 제한하면 환경의 복잡성과 공격을 줄이는 동시에 비용을 관리할 수 있습니다. 규정 준수 결과는 비규격 리소스에 대해서만 표시됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.