Granska efterlevnaden av Azure Web PubSub Service-resurser med hjälp av Azure Policy
Azure Policy är en kostnadsfri tjänst i Azure för att skapa, tilldela och hantera principer som tillämpar regler och effekter för att säkerställa att dina resurser följer företagets standarder och serviceavtal. Använd dessa principer för att granska Web PubSub-resurser för efterlevnad.
Den här artikeln beskriver de inbyggda principerna för Azure Web PubSub Service.
Inbyggda policydefinitioner
Följande tabell innehåller ett index över inbyggda principdefinitioner i Azure Policy för Azure Web PubSub. För inbyggda Azure Policy-tjänster för andra tjänster, se Inbyggda definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Web PubSub Service bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att azure Web PubSub-tjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/networkacls. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör aktivera diagnostikloggar | Granska aktivering av diagnostikloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Web PubSub Service uteslutande kräver Azure Active Directory-identiteter för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör använda en SKU som stöder privat länk | Med SKU som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att Azure Web PubSub Service uteslutande kräver Azure Active Directory-identiteter för autentisering. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Azure Web PubSub-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/awps/networkacls. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service för att använda privata DNS-zoner | Använd privata DNS-zoner för att åsidosätta DNS-matchningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Web PubSub Service med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | DeployIfNotExists, inaktiverad | 1.0.0 |
Tilldela principdefinitioner
När du tilldelar en principdefinition:
- Du kan tilldela principdefinitioner med hjälp av Azure-portalen, Azure CLI, en Resource Manager-mall eller Azure Policy SDK:er.
- Principtilldelningar kan begränsas till en resursgrupp, en prenumeration eller en Azure-hanteringsgrupp.
- Du kan aktivera eller inaktivera principframtvingande när som helst.
- Principtilldelningar för Web PubSub gäller för befintliga och nya Web PubSub-resurser inom omfånget.
Kommentar
När du har tilldelat eller uppdaterat en princip tar det lite tid innan tilldelningen tillämpas på resurser i det definierade omfånget. Se information om utlösare för principutvärdering.
Granska principefterlevnad
Få åtkomst till efterlevnadsinformation som genereras av dina principtilldelningar med hjälp av Azure-portalen, Azure-kommandoradsverktyg eller Azure Policy SDK:er. Mer information finns i Hämta efterlevnadsdata för Azure-resurser.
När en resurs inte är kompatibel finns det många möjliga orsaker. Information om orsaken eller för att hitta ändringen ansvarig finns i Fastställa bristande efterlevnad.
Principefterlevnad i portalen:
- Öppna Azure-portalen och sök efter Princip.
- Välj Princip.
- Välj Efterlevnad.
- Använd filtren för att visa efter omfång, typ eller efterlevnadstillstånd. Använd söklistan efter namn eller ID.
- Välj en princip för att granska aggregerad efterlevnadsinformation och händelser.
- Välj en specifik Web PubSub för resursefterlevnad.
Principefterlevnad i Azure CLI
Du kan använda Azure CLI för att hämta efterlevnadsdata. Använd kommandot az policy assignment list för att hämta princip-ID:t för azure Web PubSub Service-principerna som tillämpas:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Exempel på utdata>
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Kör kommandot az policy state list för att returnera det JSON-formaterade efterlevnadstillståndet för alla resurser under en specifik resursgrupp:
az policy state list --g <resourceGroup>
Kör kommandot az policy state list för att returnera det JSON-formaterade efterlevnadstillståndet för en specifik Web PubSub-resurs:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Nästa steg
Läs mer om Definitioner och effekter för Azure Policy
Skapa en anpassad principdefinition
Läs mer om styrningsfunktioner i Azure