Inbyggda Azure Policy-definitioner för Azure Cosmos DB
GÄLLER FÖR: NoSQL MongoDB Kassandra Gremlin Bord
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Cosmos DB. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Cosmos-databaskonton ska vara zonredundanta | Cosmos Database-konton kan konfigureras så att de är zonredundanta eller inte. Om "enableMultipleWriteLocations" är inställt på "true" måste alla platser ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Om "enableMultipleWriteLocations" är inställt på "false" måste den primära platsen ("failoverPriority" inställd på 0) ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Genom att tillämpa den här principen säkerställer du att Cosmos Database-konton är korrekt konfigurerade för zonredundans. | Granska, neka, inaktiverad | 1.0.0-preview |
Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
Azure Cosmos DB-konton bör inte tillåta trafik från alla Azure-datacenter | Tillåt inte IP-brandväggsregeln "0.0.0.0", som tillåter all trafik från alla Azure-datacenter. Läs mer på https://aka.ms/cosmosdb-firewall | Granska, neka, inaktiverad | 1.0.0 |
Azure Cosmos DB-konton bör inte överskrida det maximala antalet tillåtna dagar sedan den senaste kontonyckeln återskapas. | Återskapa dina nycklar under den angivna tiden för att skydda dina data mer. | Granskning, inaktiverad | 1.0.0 |
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Tillåtna platser i Azure Cosmos DB | Med den här principen kan du begränsa de platser som din organisation kan ange när du distribuerar Azure Cosmos DB-resurser. Den används för att genomdriva kraven på geo-efterlevnad. | [parameters('policyEffect')] | 1.1.0 |
Skrivåtkomst för azure Cosmos DB-nyckelbaserade metadata bör inaktiveras | Med den här principen kan du se till att alla Azure Cosmos DB-konton inaktiverar skrivåtkomst för nyckelbaserade metadata. | append | 1.0.0 |
Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt CosmosDB-konto. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Granska, neka, inaktiverad | 1.0.0 |
Azure Cosmos DB-dataflödet bör vara begränsat | Med den här principen kan du begränsa det maximala dataflöde som din organisation kan ange när du skapar Azure Cosmos DB-databaser och -containrar via resursprovidern. Det blockerar skapandet av autoskalningsresurser. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Konfigurera Cosmos DB-databaskonton för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Ändra, inaktiverad | 1.1.0 |
Konfigurera CosmosDB-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för din CosmosDB-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Ändra, inaktiverad | 1.0.1 |
Konfigurera CosmosDB-konton med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt CosmosDB-konto kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Granska, neka, inaktiverad | 1.1.0 |
Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Cosmos DB-databaser som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
Distribuera Advanced Threat Protection för Cosmos DB-konton | Den här principen aktiverar Advanced Threat Protection mellan Cosmos DB-konton. | DeployIfNotExists, inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Cosmos DB (microsoft.documentdb/databaseaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.