Ingebouwde Azure Policy-definities voor Azure Automation
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Automation. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Automation
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Automation-account moet een beheerde identiteit hebben | Gebruik beheerde identiteiten als de aanbevolen methode voor verificatie met Azure-resources vanuit de runbooks. Beheerde identiteit voor verificatie is veiliger en elimineert de beheeroverhead die is gekoppeld aan het gebruik van een RunAs-account in uw runbookcode. | Controle, uitgeschakeld | 1.0.0 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Automation-accounts moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw Automation-accountbronnen beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor het Azure Automation-account moet de lokale verificatiemethode zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Automation-accounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Automation-account configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat uw Azure Automation-accounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Automation-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor een Azure Automation-account uit, zodat het niet toegankelijk is via het openbare internet. Met deze configuratie kunt u deze beschermen tegen risico's voor gegevenslekken. U kunt de blootstelling van uw Automation-accountbronnen beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen configureren in Azure Automation-accounts | Privé-eindpuntverbindingen maken beveiligde communicatie mogelijk door privéconnectiviteit met Azure Automation-accounts in te schakelen zonder dat openbare IP-adressen nodig zijn bij de bron of bestemming. Meer informatie over privé-eindpunten in Azure Automation vindt u op https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Automation-accounts (microsoft.automation/automationaccounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie per categoriegroep inschakelen voor Automation-accounts (microsoft.automation/automationaccounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Automation-accounts (microsoft.automation/automationaccounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen voor Automation-accounts moeten zijn ingeschakeld | Met privé-eindpuntverbindingen kunt u beveiligde communicatie mogelijk maken door privéconnectiviteit met Automation-accounts in te schakelen zonder dat openbare IP-adressen bij de bron of bestemming nodig zijn. Meer informatie over privé-eindpunten in Azure Automation vindt u op https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.