Inbyggda Azure Policy-definitioner för Azure Container Registry
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Container Registry. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Container Registry
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Containerregistret ska vara zonredundant | Container Registry kan konfigureras så att det är zonredundant eller inte. När egenskapen zoneRedundancy för ett containerregister är inställd på "Disabled" betyder det att registret inte är zonredundant. Genom att tillämpa den här principen ser du till att containerregistret är korrekt konfigurerat för zonresiliens, vilket minskar risken för avbrott i zonen. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Container Registry bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla containerregister som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0-preview |
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera containerregister för att inaktivera anonym autentisering. | Inaktivera anonym pull för registret så att data inte kan nås av en oautentiserad användare. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera autentisering med ARM-målgruppstoken. | Inaktivera Azure Active Directory ARM-målgruppstoken för autentisering till registret. Endast ACR-målgruppstoken (Azure Container Registry) används för autentisering. Detta säkerställer att endast token som är avsedda för användning i registret kan användas för autentisering. Inaktivering av ARM-målgruppstoken påverkar inte administratörsanvändarens eller begränsade åtkomsttokens autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera det lokala administratörskontot. | Inaktivera administratörskontot för registret så att det inte är tillgängligt för den lokala administratören. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera containerregister för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för containerregisterresursen så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister för att inaktivera lagringsplatsens begränsade åtkomsttoken. | Inaktivera lagringsplatsens begränsade åtkomsttoken för registret så att lagringsplatser inte kan nås av token. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera containerregister med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina premium-containerregisterresurser kan du minska risken för dataläckage. Läs mer på: https://aka.ms/privateendpoints och https://aka.ms/acr/private-link. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Containerregister bör ha anonym autentisering inaktiverad. | Inaktivera anonym pull för registret så att data inte kan nås av en oautentiserad användare. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha autentisering av ARM-målgruppstoken inaktiverat. | Inaktivera Azure Active Directory ARM-målgruppstoken för autentisering till registret. Endast ACR-målgruppstoken (Azure Container Registry) används för autentisering. Detta säkerställer att endast token som är avsedda för användning i registret kan användas för autentisering. Inaktivering av ARM-målgruppstoken påverkar inte administratörsanvändarens eller begränsade åtkomsttokens autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha exporter inaktiverade | Om du inaktiverar exporter förbättras säkerheten genom att säkerställa att data i ett register endast nås via dataplanen ("docker pull"). Det går inte att flytta data från registret via "acr import" eller via "acr transfer". För att inaktivera exporter måste åtkomsten till det offentliga nätverket inaktiveras. Läs mer på: https://aka.ms/acr/export-policy. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha ett lokalt administratörskonto inaktiverat. | Inaktivera administratörskontot för registret så att det inte är tillgängligt för den lokala administratören. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.1 |
| Containerregister bör ha åtkomsttoken för lagringsplatsomfattning inaktiverad. | Inaktivera lagringsplatsens begränsade åtkomsttoken för registret så att lagringsplatser inte kan nås av token. Om du inaktiverar lokala autentiseringsmetoder som administratörsanvändare, lagringsplatsomfattande åtkomsttoken och anonym pull förbättras säkerheten genom att säkerställa att containerregister uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör ha SKU:er som stöder privata länkar | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten minskas risken för dataläckage. Läs mer på: https://aka.ms/acr/private-link. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör förhindra att cacheregel skapas | Inaktivera skapande av cacheregel för Azure Container Registry för att förhindra pull-hämtning av cacheminnen. Läs mer på: https://aka.ms/acr/cache. | Granska, neka, inaktiverad | 1.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregistry/registries) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för containerregister (microsoft.containerregistry/register). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregistry/registries) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för containerregister (microsoft.containerregister/register). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för containerregister (microsoft.containerregister/register) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för containerregister (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för containerregister | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att containerregister inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av containerregisterresurser. Läs mer på: https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. | Granska, neka, inaktiverad | 1.0.0 |
Nästa steg
- Se vägledning för att tilldela principer och granska efterlevnad.
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.