Definições internas da Política do Azure para o Azure Cosmos DB
APLICA-SE A: 
NoSQL MongoDB Cassandra Gremlin Tabela
Esta página é um índice das definições de política internas da Política do Azure para o Azure Cosmos DB. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Azure Cosmos DB
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: Contas de banco de dados Cosmos devem ser redundantes de zona | As Contas de Banco de Dados Cosmos podem ser configuradas para serem Zona Redundante ou não. Se o 'enableMultipleWriteLocations' estiver definido como 'true', todos os locais devem ter uma propriedade 'isZoneRedundant' e ela deve ser definida como 'true'. Se o 'enableMultipleWriteLocations' estiver definido como 'false', o local principal ('failoverPriority' definido como 0) deve ter uma propriedade 'isZoneRedundant' e deve ser definido como 'true'. A aplicação dessa política garante que as Contas de Banco de Dados Cosmos sejam configuradas adequadamente para redundância de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas do Azure Cosmos DB não devem exceder o número máximo de dias permitido desde a última regeneração da chave de conta. | Regenere as suas chaves no tempo especificado para manter os seus dados mais protegidos. | Auditoria, Desativado | 1.0.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Locais permitidos do Azure Cosmos DB | Esta política permite restringir os locais que sua organização pode especificar ao implantar recursos do Azure Cosmos DB. Utilize para impor os requisitos de conformidade geográfica. | [parâmetros('policyEffect')] | 1.1.0 |
| O acesso de gravação de metadados baseado em chave do Azure Cosmos DB deve ser desabilitado | Esta política permite garantir que todas as contas do Azure Cosmos DB desativem o acesso de gravação de metadados baseado em chaves. | append | 1.0.0 |
| O Azure Cosmos DB deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que sua conta do CosmosDB não seja exposta na Internet pública. A criação de endpoints privados pode limitar a exposição da sua conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditoria, Negar, Desativado | 1.0.0 |
| A taxa de transferência do Azure Cosmos DB deve ser limitada | Essa política permite que você restrinja a taxa de transferência máxima que sua organização pode especificar ao criar bancos de dados e contêineres do Azure Cosmos DB por meio do provedor de recursos. Ele bloqueia a criação de recursos de escala automática. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Configurar contas de banco de dados do Cosmos DB para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que suas contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modificar, Desativado | 1.1.0 |
| Configurar contas do CosmosDB para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu recurso do CosmosDB para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modificar, Desativado | 1.0.1 |
| Configurar contas do CosmosDB com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para sua conta do CosmosDB, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
| As contas de banco de dados do Cosmos DB devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditoria, Negar, Desativado | 1.1.0 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cosmos DB não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Implantar proteção avançada contra ameaças para contas do Cosmos DB | Esta política permite a Proteção Avançada contra Ameaças em contas do Cosmos DB. | DeployIfNotExists, desativado | 1.0.0 |
| Habilitar o log por grupo de categorias para o Azure Cosmos DB (microsoft.documentdb/databaseaccounts) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.