Azure Automation에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Automation에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Automation
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Automation 계정에 관리 ID가 있어야 함 | Runbook에서 Azure 리소스로 인증하기 위한 권장 방법으로 관리 ID를 사용합니다. 인증을 위한 관리 ID는 더 안전하며 Runbook 코드에서 RunAs 계정 사용과 관련된 관리 오버헤드를 제거합니다. | 감사, 사용 안 함 | 1.0.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Automation 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 Automation 계정 리소스 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Automation 계정에는 로컬 인증 방법이 비활성화되어 있어야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Automation 계정에서 인증에 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Automation 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Automation 계정의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/automation-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Automation 계정 구성 | Azure Automation 계정에서 인증을 위해 Azure Active Directory ID만 필요하도록 로컬 인증 방법을 비활성화합니다. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Automation 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Automation 계정에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이 구성은 데이터 유출 위험으로부터 보호할 수 있습니다. 대신 프라이빗 엔드포인트를 만들어 Automation 계정 리소스의 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| Azure Automation 계정에서 프라이빗 엔드포인트 연결 구성 | 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure Automation 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에 있는 Azure Automation에서 프라이빗 엔드포인트에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Automation 계정에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Automation 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에 있는 Azure Automation에서 프라이빗 엔드포인트에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.