Definições internas da Política do Azure para o Armazenamento do Azure
Esta página é um índice das definições de política internas da Política do Azure para o Armazenamento do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Microsoft.Storage
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O Backup do Azure deve ser habilitado para Blobs em Contas de Armazenamento | Garanta a proteção de suas Contas de Armazenamento habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configure o backup para blobs em contas de armazenamento com uma determinada tag para um cofre de backup existente na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure o backup de blob para todas as contas de armazenamento que não contêm uma determinada tag para um cofre de backup na mesma região | Imponha o backup de blobs em todas as contas de armazenamento que não contenham uma determinada tag em um cofre de backup central. Isso pode ajudá-lo a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, veja https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
| [Pré-visualização]: As contas de armazenamento devem ser redundantes de zona | As Contas de Armazenamento podem ser configuradas para serem Redundantes de Zona ou não. Se o nome SKU de uma conta de armazenamento não terminar com 'ZRS' ou seu tipo for 'Armazenamento', ele não será redundante de zona. Essa política garante que suas contas de armazenamento usem a configuração redundante de zona ae. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar a Sincronização de Ficheiros do Azure com pontos de extremidade privados | Um ponto de extremidade privado é implantado para o recurso do Serviço de Sincronização de Armazenamento indicado. Isso permite que você aborde seu recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados por si só não desativa o ponto de extremidade público. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de diagnóstico para serviços de Blob para espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Blob para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de blob que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Arquivo para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Arquivo para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de arquivo que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Fila para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Fila para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Serviço de fila que esteja faltando essas configurações de diagnóstico é criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Definir configurações de diagnóstico para contas de armazenamento para o espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico para contas de armazenamento para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer conta de armazenamento que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.0 |
| Definir configurações de diagnóstico para o espaço de trabalho Serviços de Tabela para Análise de Log | Implanta as configurações de diagnóstico dos Serviços de Tabela para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer serviço de tabela que esteja faltando essas configurações de diagnóstico é criado ou atualizado. Nota: Esta política não é acionada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar a conta. | DeployIfNotExists, AuditIfNotExists, desativado | 4.0.1 |
| Configurar a transferência segura de dados em uma conta de armazenamento | A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Modificar, Desativado | 1.0.0 |
| Configurar a conta de armazenamento para usar uma conexão de link privado | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear endpoints privados para sua conta de armazenamento, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, desativado | 1.0.0 |
| Configurar contas de armazenamento para desabilitar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Modificar, Desativado | 1.0.1 |
| Configure Contas de Armazenamento para restringir o acesso à rede apenas por meio da configuração de desvio de ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Modificar, Desativado | 1.0.0 |
| Configurar o acesso público da sua conta de armazenamento para não ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | Modificar, Desativado | 1.0.0 |
| Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. | Auditoria, Negar, Desativado | 1.0.0 |
| Implantar o Defender for Storage (Classic) em contas de armazenamento | Esta política habilita o Defender for Storage (Classic) em contas de armazenamento. | DeployIfNotExists, desativado | 1.0.1 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro por grupo de categoria para movimentadores de armazenamento (microsoft.storagemover/storagemovers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para movimentadores de armazenamento (microsoft.storagemover/storagemovers) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilite o registro por grupo de categoria para Movimentadores de armazenamento (microsoft.storagemover/storagemovers) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para movimentadores de armazenamento (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
| Modificar - Configurar a Sincronização de Ficheiros do Azure para desativar o acesso à rede pública | O ponto de extremidade público acessível pela Internet do Azure File Sync é desabilitado pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| Modificar - Configure sua conta de armazenamento para habilitar o controle de versão de blob | Você pode habilitar o controle de versão de armazenamento de Blob para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blob está habilitado, você pode acessar versões anteriores de um blob para recuperar seus dados se eles forem modificados ou excluídos. Observe que as contas de armazenamento existentes não serão modificadas para habilitar o controle de versão de armazenamento de Blob. Somente contas de armazenamento recém-criadas terão o controle de versão de armazenamento de Blob habilitado | Modificar, Desativado | 1.0.0 |
| O acesso à rede pública deve ser desabilitado para o Azure File Sync | A desativação do ponto de extremidade público permite restringir o acesso ao recurso do Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente inseguro em permitir solicitações para o ponto de extremidade público, no entanto, você pode desativá-lo para atender aos requisitos de política regulamentar, legal ou organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização de Armazenamento definindo incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria, Negar, Desativado | 1.0.0 |
| O armazenamento em fila deve usar a chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento em fila com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Auditoria, Negar, Desativado | 1.0.0 |
| Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para dados em repouso | Habilite a criptografia de infraestrutura para criptografia em repouso dos escopos de criptografia da conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As chaves de conta de armazenamento não devem ter expirado | Certifique-se de que as chaves da conta de armazenamento do usuário não tenham expirado quando a política de expiração de chaves for definida, para melhorar a segurança das chaves de conta tomando medidas quando as chaves expirarem. | Auditoria, Negar, Desativado | 3.0.0 |
| As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ser limitadas por SKUs permitidos | Restrinja o conjunto de SKUs de conta de armazenamento que sua organização pode implantar. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem desativar o acesso à rede pública | Para melhorar a segurança das Contas de Armazenamento, certifique-se de que elas não estejam expostas à Internet pública e só possam ser acessadas a partir de um ponto de extremidade privado. Desative a propriedade de acesso à rede pública conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Esta opção desativa o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Isso reduz os riscos de vazamento de dados. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter políticas de assinatura de acesso compartilhado (SAS) configuradas | Verifique se as contas de armazenamento têm a política de expiração de assinatura de acesso compartilhado (SAS) habilitada. Os usuários usam uma SAS para delegar acesso a recursos na conta de Armazenamento do Azure. E a política de expiração SAS recomenda um limite superior de expiração quando um usuário cria um token SAS. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem ter a versão TLS mínima especificada | Configure uma versão mínima do TLS para comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a versão mais recente, que atualmente é o TLS 1.2. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir a replicação de objetos entre locatários | Restrição de auditoria da replicação de objetos para sua conta de armazenamento. Por padrão, os usuários podem configurar a replicação de objetos com uma conta de armazenamento de origem em um locatário do Azure AD e uma conta de destino em um locatário diferente. É uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que é de propriedade do cliente. Ao definir allowCrossTenantReplication como false, a replicação de objetos pode ser configurada somente se as contas de origem e de destino estiverem no mesmo locatário do Azure AD. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem impedir o acesso à chave compartilhada | Requisito de auditoria do Azure Ative Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais do Azure Ative Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Destes dois tipos de autorização, o Azure AD garante segurança superior e facilidade de utilização da Chave Partilhada, pelo que é a recomendação da Microsoft. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As Contas de Armazenamento devem restringir o acesso à rede apenas através da configuração de bypass da ACL de rede. | Para melhorar a segurança das Contas de Armazenamento, habilite o acesso somente por meio do desvio de ACL de rede. Essa política deve ser usada em combinação com um ponto de extremidade privado para acesso à conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| O armazenamento de tabela deve usar a chave gerenciada pelo cliente para criptografia | Proteja o armazenamento da sua mesa com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Negar, Desativado | 1.0.0 |
Microsoft.StorageCache
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para caches HPC (microsoft.storagecache/caches) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para caches HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
| As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
Microsoft.StorageSync
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar a Sincronização de Ficheiros do Azure com pontos de extremidade privados | Um ponto de extremidade privado é implantado para o recurso do Serviço de Sincronização de Armazenamento indicado. Isso permite que você aborde seu recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados por si só não desativa o ponto de extremidade público. | DeployIfNotExists, desativado | 1.0.0 |
| Modificar - Configurar a Sincronização de Ficheiros do Azure para desativar o acesso à rede pública | O ponto de extremidade público acessível pela Internet do Azure File Sync é desabilitado pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| O acesso à rede pública deve ser desabilitado para o Azure File Sync | A desativação do ponto de extremidade público permite restringir o acesso ao recurso do Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente inseguro em permitir solicitações para o ponto de extremidade público, no entanto, você pode desativá-lo para atender aos requisitos de política regulamentar, legal ou organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização de Armazenamento definindo incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria, Negar, Desativado | 1.0.0 |
Microsoft.ClassicStorage
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.