Встроенные определения в Политике Azure для службы хранилища Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для службы хранилища Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Microsoft.Storage;
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: azure Backup должен быть включен для больших двоичных объектов в учетных записях служба хранилища | Обеспечьте защиту учетных записей служба хранилища, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка резервного копирования BLOB-объектов для учетных записях хранения с указанным тегом в существующее резервное хранилище в том же регионе | Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| Предварительная версия. Настройка резервного копирования BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в резервное хранилище в том же регионе | Принудительно примените резервное копирование BLOB-объектов для всех учетных записей хранения, которые не содержат данный тег, в центральное резервное хранилище. Это упростит масштабное управление резервным копированием BLOB-объектов, которые содержатся в разных учетных записях хранения. Дополнительные сведения см. в статье https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| [Предварительная версия]: служба хранилища учетные записи должны быть избыточными по зонам | служба хранилища учетные записи можно настроить как избыточные зоны или нет. Если имя SKU учетной записи служба хранилища не заканчивается именем ZRS или его типом является "служба хранилища", он не является избыточным по зонам. Эта политика гарантирует, что учетные записи служба хранилища используют конфигурацию избыточности между зонами. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка частных конечных точек для Синхронизации файлов Azure | Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка параметров диагностики для служб BLOB-объектов в рабочей области Log Analytics | Развертывает параметры диагностики для служб BLOB-объектов, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы BLOB-объектов, где эти параметры диагностики отсутствуют. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Настройка параметров диагностики для файловых служб в рабочей области Log Analytics | Развертывает параметры диагностики для файловых служб, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой файловой службы, где эти параметры диагностики отсутствуют. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Настройка параметров диагностики для служб очередей в рабочей области Log Analytics | Развертывает параметры диагностики для служб очередей, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы очередей, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи служба хранилища и требует создания задачи исправления для обновления учетной записи. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Настройка параметров диагностики для учетных записей хранения в рабочей области Log Analytics | Развертывает параметры диагностики для учетных записей хранения, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении учетных записей хранения, где эти параметры отсутствуют. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Настройка параметров диагностики для служб таблиц в рабочей области Log Analytics | Развертывает параметры диагностики для служб таблиц, чтобы выполнять потоковую передачу журналов ресурсов в рабочую область Log Analytics при создании или изменении любой службы таблиц, где эти параметры диагностики отсутствуют. Примечание. Эта политика не активируется при создании учетной записи служба хранилища и требует создания задачи исправления для обновления учетной записи. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Настройка безопасной передачи данных в учетную запись хранения | Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только из безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Modify, Disabled | 1.0.0 |
| Настройка учетной записи хранения для использования подключения приватного канала | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своей учетной записью хранения, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка отключения доступа из общедоступной сети для учетных записей хранения | Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Modify, Disabled | 1.0.1 |
| Настройте служба хранилища учетные записи, чтобы ограничить сетевой доступ только через конфигурацию обхода сетевого списка ACL. | Чтобы повысить безопасность учетных записей служба хранилища, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. | Modify, Disabled | 1.0.0 |
| Настройка запрета общего доступа к учетной записи хранения | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | Modify, Disabled | 1.0.0 |
| Настройка учетной записи служба хранилища для включения управления версиями BLOB-объектов | Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. | Audit, Deny, Disabled | 1.0.0 |
| Развертывание Defender для служба хранилища (классической) в учетных записях хранения | Эта политика включает Defender для служба хранилища (классической) в учетных записях хранения. | DeployIfNotExists, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Audit, Disabled | 1.0.0 |
| Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом | Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Audit, Disabled, Deny | 2.0.0 |
| Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети | Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. | Modify, Disabled | 1.0.0 |
| Изменение. Настройка учетной записи служба хранилища для включения управления версиями BLOB-объектов | Вы можете включить управление версиями хранилища BLOB-объектов, чтобы автоматически обслуживать предыдущие версии объекта. Если включено управление версиями BLOB-объектов, вы можете получить доступ к более ранним версиям большого двоичного объекта, чтобы восстановить данные, если они изменены или удалены. Обратите внимание, что существующие учетные записи хранения не будут изменены, чтобы включить управление версиями хранилища BLOB-объектов. Только недавно созданные учетные записи хранения будут иметь включенную версию хранилища BLOB-объектов. | Modify, Disabled | 1.0.0 |
| Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен | Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
| Хранилище очередей должно использовать для шифрования ключ, управляемый клиентом | Обеспечение безопасности хранилища очередей благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Deny, Disabled | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| В областях шифрования учетных записей хранения следует применять двойное шифрование неактивных данных | Включите шифрование инфраструктуры для шифрования неактивных данных в областях шифрования учетной записи хранения для повышения безопасности. Если включено шифрование инфраструктуры, данные шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
| Ключи учетной записи хранения не должны быть просрочены | Убедитесь, что ключи учетной записи хранения пользователя не просрочены, если задана политика срока действия ключа. Это позволит повысить безопасность ключей учетной записи, предпринимая меры по истечении срока действия ключей. | Audit, Deny, Disabled | 3.0.0 |
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи хранения должны ограничиваться разрешенными SKU | Ограничение набора SKU учетных записей хранения, которые может развертывать ваша организация. | Audit, Deny, Disabled | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Для учетных записей хранения должен быть отключен доступ из общедоступной сети | Чтобы повысить уровень безопасности учетных записей хранения, убедитесь, что они не открыты для общедоступного Интернета и доступны только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано по адресу https://aka.ms/storageaccountpublicnetworkaccess. Этот параметр позволяет отключить доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запретить все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Это снижает риски утечки данных. | Audit, Deny, Disabled | 1.0.1 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
| Для учетных записей хранения должны быть настроены политики подписанных URL-адресов (SAS) | Для учетных записей хранения должна быть включена политика срока действия подписанных URL-адресов (SAS). Пользователи используют SAS для делегирования доступа к ресурсам в учетной записи хранения Azure. При создании пользователем маркера SAS политика срока действия SAS рекомендует использовать верхний предел срока. | Audit, Deny, Disabled | 1.0.0 |
| У учетных записей хранения должна быть указанная минимальная версия TLS | Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью хранения. Чтобы свести к минимуму риск безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2). | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи хранения должны предотвращать репликацию объектов в разных клиентах | Необходимо вести аудит ограничения репликации объектов для учетной записи хранения. По умолчанию пользователи могут настраивать репликацию объектов с помощью учетной записи источника в одном клиенте Azure AD и учетной записи назначения в другом клиенте. При этом возникает проблема безопасности, поскольку данные клиента могут быть реплицированы в учетную запись хранения, которая принадлежит заказчику. Если задать параметру allowCrossTenantReplication значение false, репликацию объектов можно настроить только в том случае, если учетные записи источника и назначения находятся в одном клиенте Azure AD. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи хранения должны предотвращать доступ к общему ключу | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. | Audit, Deny, Disabled | 2.0.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| служба хранилища учетные записи должны ограничивать доступ к сети только через конфигурацию обхода сетевого списка ACL. | Чтобы повысить безопасность учетных записей служба хранилища, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Хранилище таблиц должно использовать для шифрования ключ, управляемый клиентом | Обеспечение безопасности хранилища таблиц благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.StorageCache
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом | Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Audit, Disabled, Deny | 2.0.0 |
Microsoft.StorageSync
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка частных конечных точек для Синхронизации файлов Azure | Частная конечная точка развертывается для указанного ресурса службы синхронизации хранилища. Это позволяет обращаться к ресурсу службы синхронизации хранилища из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Существование одной или нескольких частных конечных точек само по себе не приводит к отключению общедоступной конечной точки. | DeployIfNotExists, Disabled | 1.0.0 |
| Изменение — настройка Синхронизации файлов Azure для отключения доступа к общедоступной сети | Общедоступная конечная точка в Интернете для Синхронизации файлов Azure отключена политикой организации. Вы по-прежнему можете получить доступ к службе синхронизации хранилища через ее частные конечные точки. | Modify, Disabled | 1.0.0 |
| Доступ к общедоступной сети для Синхронизации файлов Azure должен быть отключен | Отключение общедоступной конечной точки позволяет ограничить доступ к ресурсу службы синхронизации хранилища запросами, предназначенными для утвержденных частных конечных точек в сети организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации хранилища, задав для incomingTrafficPolicy ресурса значение AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
Microsoft.ClassicStorage
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.