Wbudowane definicje usługi Azure Policy dla usługi Azure Backup
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Backup. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure Backup
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że magazyn usługi Recovery Services nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie magazynu usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem przechowywanym w danych kopii zapasowej. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/AB-CmkEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać linku prywatnego do tworzenia kopii zapasowych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/AB-PrivateEndpoints. | Inspekcja, wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Tworzenie kopii zapasowych i odzyskiwanie lokacji powinno być strefowo nadmiarowe | Kopie zapasowe i usługi Site Recovery można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Tworzenie kopii zapasowych i usługa Site Recovery jest strefowo nadmiarowa, jeśli właściwość "standardTierStorageRedundancy" jest ustawiona na wartość "ZoneRedundant". Wymuszanie tych zasad pomaga zapewnić, że usługa Backup i Site Recovery są odpowiednio skonfigurowane pod kątem odporności strefy, co zmniejsza ryzyko przestoju podczas przestojów w strefie. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Azure Recovery Services w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla magazynu usługi Recovery Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modyfikowanie, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie prywatnych punktów końcowych w magazynach usługi Azure Recovery Services | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby odzyskiwania lokacji magazynów usługi Recovery Services, można zmniejszyć ryzyko wycieku danych. Aby korzystać z linków prywatnych, tożsamość usługi zarządzanej musi być przypisana do magazynów usługi Recovery Services. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Recovery Services pod kątem używania prywatnych punktów końcowych do tworzenia kopii zapasowych | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na magazyny usługi Recovery Services, można zmniejszyć ryzyko wycieku danych. Należy pamiętać, że magazyny muszą spełniać określone wymagania wstępne, aby kwalifikować się do konfiguracji prywatnego punktu końcowego. Dowiedz się więcej na stronie : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Wyłączanie przywracania między subskrypcjami dla magazynów usługi Azure Recovery Services | Wyłącz lub trwaleDisable Cross Subscription Restore dla magazynu usługi Recovery Services, aby obiekty docelowe przywracania nie mogły znajdować się w innej subskrypcji niż subskrypcja magazynu. Dowiedz się więcej na stronie: https://aka.ms/csrenhancements. | Modyfikowanie, wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: nie zezwalaj na tworzenie magazynów usługi Recovery Services wybranych nadmiarowości magazynu. | Magazyny usługi Recovery Services można tworzyć z dowolną z trzech opcji nadmiarowości magazynu, czyli magazynem lokalnie nadmiarowym, magazynem strefowo nadmiarowym i magazynem geograficznie nadmiarowym. Jeśli zasady w organizacji wymagają zablokowania tworzenia magazynów należących do określonego typu nadmiarowości, można to zrobić przy użyciu tych zasad platformy Azure. | Odmów, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Dla magazynów usługi Recovery Services musi być włączona niezmienność | Te zasady sprawdzają, czy właściwość magazynów niezmiennych jest włączona dla magazynów usługi Recovery Services w zakresie. Pomaga to chronić dane kopii zapasowej przed usunięciem przed jej zamierzonym wygaśnięciem. Dowiedz się więcej na https://aka.ms/AB-ImmutableVaults. | Inspekcja, wyłączone | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Dla magazynów usługi Recovery Services musi być włączona autoryzacja wielu użytkowników (MUA). | Te zasady sprawdzają, czy dla magazynów usługi Recovery Services włączono autoryzację wielu użytkowników (MUA). Usługa MUA pomaga w zabezpieczaniu magazynów usługi Recovery Services przez dodanie dodatkowej warstwy ochrony do krytycznych operacji. Aby uzyskać dodatkowe informacje, odwiedź stronę https://aka.ms/MUAforRSV. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Recovery Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych dla usługi Azure Site Recovery pod adresem: https://aka.ms/HybridScenarios-PrivateLink i https://aka.ms/AzureToAzure-PrivateLink. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Usuwanie nietrwałe musi być włączone dla magazynów usługi Recovery Services. | Te zasady sprawdzają, czy usuwanie nietrwałe jest włączone dla magazynów usługi Recovery Services w zakresie. Usuwanie nietrwałe może pomóc w odzyskiwaniu danych nawet po jego usunięciu. Dowiedz się więcej na https://aka.ms/AB-SoftDelete. | Inspekcja, wyłączone | 1.0.0-preview |
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Wdróż Ustawienia diagnostyczne dla magazynu usługi Recovery Services w obszarze roboczym usługi Log Analytics dla określonych kategorii zasobów. | Wdróż Ustawienia diagnostyczne dla magazynu usługi Recovery Services w celu przesyłania strumieniowego do obszaru roboczego usługi Log Analytics dla kategorii specyficznych dla zasobów. Jeśli którakolwiek z kategorii specyficznych dla zasobu nie jest włączona, zostanie utworzone nowe ustawienie diagnostyczne. | deployIfNotExists | 1.0.2 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do magazynów usługi Event Hub for Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla magazynów usługi Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.