Azure Cosmos DB에 대한 Azure Policy 기본 제공 정의
적용 대상: 
NoSQL MongoDB Cassandra Gremlin 테이블
이 페이지는 Azure Cosmos DB에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Cosmos DB
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Cosmos 데이터베이스 계정은 영역 중복이어야 합니다. | Cosmos 데이터베이스 계정은 영역 중복 여부에 관계없이 구성될 수 있습니다. 'enableMultipleWriteLocations'가 'true'로 설정된 경우 모든 위치에는 'isZoneRedundant' 속성이 있어야 하며 'true'로 설정되어야 합니다. 'enableMultipleWriteLocations'가 'false'로 설정된 경우 기본 위치('failoverPriority'가 0으로 설정됨)에 'isZoneRedundant' 속성이 있어야 하며 'true'로 설정되어야 합니다. 이 정책을 적용하면 Cosmos 데이터베이스 계정이 영역 중복을 위해 적절하게 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Azure Cosmos DB 계정은 마지막 계정 키를 다시 생성한 후 허용되는 최대 일수를 초과하면 안 됩니다. | 데이터를 추가로 보호하려면 지정된 시간에 키를 다시 생성합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Cosmos DB 허용되는 위치 | 이 정책을 사용하면 Azure Cosmos DB 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB 키 기반 메타데이터 쓰기 액세스를 사용하지 않도록 설정해야 함 | 이 정책을 통해 모든 Azure Cosmos DB 계정에서 키 기반 메타데이터 쓰기 액세스를 사용하지 않도록 설정할 수 있습니다. | 추가 | 1.0.0 |
| Azure Cosmos DB는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 CosmosDB 계정이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 CosmosDB 계정의 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cosmos DB 처리량을 제한해야 함 | 이 정책을 사용하면 리소스 공급자를 통해 Azure Cosmos DB 데이터베이스 및 컨테이너를 만들 때 조직에서 지정할 수 있는 최대 처리량을 제한할 수 있습니다. 자동 크기 조정 리소스 생성을 차단합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 로컬 인증을 사용하지 않도록 Cosmos DB 데이터베이스 계정 구성 | Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 CosmosDB 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 CosmosDB 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 프라이빗 엔드포인트로 CosmosDB 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 | 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Cosmos DB는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Cosmos DB를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Cosmos DB 계정에 대한 Advanced Threat Protection 배포 | 이 정책은 Cosmos DB 계정에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Cosmos DB(microsoft.documentdb/databaseaccounts) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Cosmos DB에 대한 Log Analytics 작업 영역(microsoft.documentdb/databaseaccounts)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.