Встроенные определения в Политике Azure для пакетной службы Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для пакетной службы Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Пакетная служба Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Для пулов пакетной службы Azure должно быть включено шифрование дисков | Включение шифрования дисков для пакетной службы Azure гарантирует, что данные в вычислительном узле пакетной службы Azure всегда шифруются в неактивном виде. Дополнительные сведения о шифровании дисков в пакетной службе см. на странице https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Для учетных записей пакетной службы методы локальной проверки подлинности должны быть отключены | Отключение методов локальной проверки подлинности повышает безопасность, так как гарантирует, что учетные записи пакетной службы будут требовать для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Настройка учетных записей пакетной службы для отключения локальной проверки подлинности | Отключите локальные методы проверки подлинности, чтобы учетные записи пакетной службы требовали для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/batch/auth. | Modify, Disabled | 1.0.0 |
| Настройка отключения доступа из общедоступной сети для учетных записей пакетной службы | Отключение доступа к учетной записи пакетной службы через общедоступную сеть повышает безопасность, гарантируя, что доступ к этой учетной записи будет возможен только из частной конечной точки. Дополнительные сведения об отключении доступа из общедоступной сети см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. | Modify, Disabled | 1.0.0 |
| Настройка учетных записей пакетной службы с частными конечными точками | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки с учетными записями пакетной службы, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание параметров диагностики учетной записи пакетной службы в концентраторе событий | Развертывает параметры диагностики учетной записи пакетной службы для потоковой передачи в региональный концентратор событий при создании или изменении учетной записи пакетной службы, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 2.0.0 |
| Развертывание параметров диагностики учетной записи пакетной службы в рабочей области Log Analytics | Развертывает параметры диагностики учетной записи пакетной службы для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении учетной записи пакетной службы, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для учетных записей пакетной службы (microsoft.batch/batchaccounts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для учетных записей пакетной службы (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для учетных записей пакетной службы (microsoft.batch/batchaccounts) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для учетных записей пакетной службы (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для учетных записей пакетной службы (microsoft.batch/batchaccounts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для учетных записей пакетной службы (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| В учетных записях пакетной службы должны быть настроены правила генерации оповещений по метрикам | Аудит настройки правил оповещений по метрикам в учетной записи пакетной службы для активации нужной метрики | AuditIfNotExists, Disabled | 1.0.0 |
| Подключения частной конечной точки для учетных записей пакетной службы должны быть включены | Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей пакетной службы в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в пакетной службе: https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| Для учетных записей пакетной службы должен быть отключен доступ через общедоступную сеть | Отключение доступа к учетной записи пакетной службы через общедоступную сеть повышает безопасность, гарантируя, что доступ к этой учетной записи будет возможен только из частной конечной точки. Дополнительные сведения об отключении доступа из общедоступной сети см. здесь: https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.