Azure Sanal Ağ için yerleşik tanımları Azure İlkesi
Bu sayfa, Azure Sanal Ağ için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her bir yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanmaktadır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Sanal Ağ
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Container Registry bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Container Registry'leri denetler. | Denetim, Devre Dışı | 1.0.0-önizleme |
| Tüm Azure sanal ağ geçidi bağlantılarına özel bir IPsec/IKE ilkesi uygulanmalıdır | Bu ilke, tüm Azure sanal ağ geçidi bağlantılarının özel bir İnternet Protokolü Güvenliği (Ipsec)/İnternet Anahtar Değişimi (IKE) ilkesi kullanmasını sağlar. Desteklenen algoritmalar ve anahtar güçlü yönleri - https://aka.ms/AA62kb0 | Denetim, Devre Dışı | 1.0.0 |
| Tüm akış günlüğü kaynakları etkin durumda olmalıdır | Akış günlüğü durumunun etkinleştirilip etkinleştirilmediğini doğrulamak için akış günlüğü kaynaklarını denetleyin. Akış günlüklerinin etkinleştirilmesi, IP trafiği akışı hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| App Service uygulamaları sanal ağ hizmet uç noktası kullanmalıdır | Azure sanal ağından seçilen alt ağlardan uygulamanıza erişimi kısıtlamak için sanal ağ hizmet uç noktalarını kullanın. App Service hizmet uç noktaları hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Her sanal ağ için denetim akışı günlükleri yapılandırması | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için sanal ağ denetimi. Akış günlüklerinin etkinleştirilmesi, sanal ağ üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Azure Uygulaması lication Gateway, Azure WAF ile dağıtılmalıdır | Azure Uygulaması Lication Gateway kaynaklarının Azure WAF ile dağıtılması gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı Klasik Kuralların Güvenlik Duvarı İlkesi'ne geçirilmesi gerekir | Azure Güvenlik Duvarı Klasik Kuralları'ndan Güvenlik Duvarı İlkesi'ne geçirerek Azure Güvenlik Duvarı Yöneticisi gibi merkezi yönetim araçlarını kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı İlke Analizi Etkinleştirilmelidir | İlke Analizi'nin etkinleştirilmesi, Azure Güvenlik Duvarı üzerinden akan trafik için gelişmiş görünürlük sağlayarak uygulama performansınızı etkilemeden güvenlik duvarı yapılandırmanızın iyileştirilmesini sağlar | Denetim, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı İlkesi Tehdit Bilgileri'ni etkinleştirmelidir | Güvenlik duvarınızda tehdit analizi tabanlı filtrelemeyi etkinleştirerek bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/giden trafiği reddedebilir ve uyarı oluşturulmasını sağlayabilirsiniz. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı İlkesinde DNS Ara Sunucusu Etkin olmalıdır | DNS Proxy'sinin etkinleştirilmesi, bu ilkeyle ilişkilendirilmiş Azure Güvenlik Duvarı bağlantı noktası 53'te dinlemesini ve DNS isteklerini belirtilen DNS sunucusuna iletmesini sağlar | Denetim, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı birden çok Kullanılabilirlik Alanları yayılacak şekilde dağıtılmalıdır | Daha fazla kullanılabilirlik için Azure Güvenlik Duvarı birden çok Kullanılabilirlik Alanları yaymak üzere dağıtmanızı öneririz. Bu, bölge hatası durumunda Azure Güvenlik Duvarı kullanılabilir durumda kalmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı Standart - Klasik Kurallar Tehdit Analizini etkinleştirmelidir | Güvenlik duvarınızda tehdit analizi tabanlı filtrelemeyi etkinleştirerek bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/giden trafiği reddedebilir ve uyarı oluşturulmasını sağlayabilirsiniz. IP adresleri ve etki alanları, Microsoft Tehdit Analizi akışından alınır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Güvenlik Duvarı Standart, yeni nesil koruma için Premium'a yükseltilmelidir | IDPS ve TLS incelemesi gibi yeni nesil koruma arıyorsanız, Azure Güvenlik Duvarı Premium sku'ya yükseltmeyi düşünmelisiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure VPN ağ geçitleri 'temel' SKU kullanmamalıdır | Bu ilke, VPN ağ geçitlerinin 'temel' SKU kullanmamasını sağlar. | Denetim, Devre Dışı | 1.0.0 |
| Azure Uygulaması lication Gateway'de Azure Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesi etkinleştirilmelidir | Azure Uygulaması lication Gateway'lerle ilişkili Web Uygulaması Güvenlik Duvarı İstek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door'daki Azure Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesi etkinleştirilmelidir | Azure Front Door ile ilişkili Web Uygulaması Güvenlik Duvarı istek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Uygulaması Lication Gateway WAF için Bot Koruması etkinleştirilmelidir | Bu ilke tüm Azure Uygulaması lication Gateway Web Uygulaması Güvenlik Duvarı (WAF) ilkelerinde bot korumasının etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door WAF için Bot Koruması etkinleştirilmelidir | Bu ilke tüm Azure Front Door Web Uygulaması Güvenlik Duvarı (WAF) ilkelerinde bot korumasının etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Ağ Güvenlik Grupları için Tanılama ayarlarını Log Analytics çalışma alanına yapılandırma | Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için tanılama ayarlarını Azure Ağ Güvenlik Grupları'na dağıtın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Trafik analizini etkinleştirmek için ağ güvenlik gruplarını yapılandırma | trafik analizi, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm ağ güvenlik grupları için etkinleştirilebilir. Trafik analizi zaten etkinse ilke ayarlarının üzerine yazılmaz. Akış Günlükleri, sahip olmayan Ağ güvenlik grupları için de etkinleştirilir. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Ağ güvenlik gruplarını trafik analizi için belirli çalışma alanını, depolama hesabını ve akış günlüğü saklama ilkesini kullanacak şekilde yapılandırma | Trafik analizi zaten etkinse ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Akış Günlüğünü ve Trafik Analizini etkinleştirmek için sanal ağı yapılandırma | Trafik analizi ve Akış günlükleri, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm sanal ağlar için etkinleştirilebilir. Bu ilke, bu özelliğin zaten etkin olduğu sanal ağlar için geçerli ayarın üzerine yazılmaz. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Akış günlükleri ve Trafik Analizi için çalışma alanı, depolama hesabı ve bekletme aralığını zorunlu kılmak için sanal ağları yapılandırma | Bir sanal ağda trafik analizi zaten etkinse, bu ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.2 |
| Cosmos DB bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış cosmos DB'leri denetler. | Denetim, Devre Dışı | 1.0.0 |
| Hedef ağ güvenlik grubuyla akış günlüğü kaynağı dağıtma | Belirli bir ağ güvenlik grubu için akış günlüğünü yapılandırılır. Bir ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | deployIfNotExists | 1.1.0 |
| Hedef sanal ağ ile Akış Günlüğü kaynağı dağıtma | Belirli bir sanal ağ için akış günlüğünü yapılandırıyor. Sanal ağ üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Sanal ağlar oluşturulduğunda ağ izleyicisi dağıtma | Bu ilke, sanal ağlara sahip bölgelerde bir ağ izleyicisi kaynağı oluşturur. Ağ izleyicisi örneklerini dağıtmak için kullanılacak networkWatcherRG adlı bir kaynak grubunun mevcut olduğundan emin olmanız gerekir. | DeployIfNotExists | 1.0.0 |
| Azure Front Door WAF'de DDoS saldırılarına karşı koruma sağlamak için Hız Sınırı kuralını etkinleştirme | Azure Front Door için Azure Web Uygulaması Güvenlik Duvarı (WAF) hız sınırı kuralı, hız sınırı süresi boyunca belirli bir istemci IP adresinden uygulamaya izin verilen istek sayısını denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Olay Hub'ı bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Olay Hub'larını denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için ağ güvenlik gruplarını denetleyin. Akış günlüklerinin etkinleştirilmesi, ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.1.0 |
| Ağ geçidi alt ağları bir ağ güvenlik grubuyla yapılandırılmamalıdır | Ağ geçidi alt ağı bir ağ güvenlik grubuyla yapılandırıldığında bu ilke reddedilir. Ağ geçidi alt ağına bir ağ güvenlik grubu atamak, ağ geçidinin çalışmayı durdurmasına neden olur. | reddet | 1.0.0 |
| Key Vault bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Key Vault'ları denetler. | Denetim, Devre Dışı | 1.0.0 |
| WAF Yapılandırmasından WaF İlkesi'ne Application Gateway'de WAF Geçişi | WAF İlkesi yerine WAF Yapılandırmasına sahipseniz yeni WAF İlkesi'ne geçmek isteyebilirsiniz. Bundan sonra güvenlik duvarı ilkesi WAF ilke ayarlarını, yönetilen kural kümelerini, dışlamaları ve devre dışı bırakılmış kural gruplarını destekleyecektir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Ağ arabirimleri IP iletmeyi devre dışı bırakmalıdır | Bu ilke, IP iletmeyi etkinleştiren ağ arabirimlerini reddeder. IP iletme ayarı, Azure'ın bir ağ arabirimi için kaynak ve hedef denetimini devre dışı bırakır. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | reddet | 1.0.0 |
| Ağ arabirimlerinde genel IP'ler olmamalıdır | Bu ilke, herhangi bir genel IP ile yapılandırılan ağ arabirimlerini reddeder. Genel IP adresleri İnternet kaynaklarından Azure kaynaklarına gelen iletişime ve Azure kaynaklarından İnternet'e giden iletişime olanak sağlar. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | reddet | 1.0.0 |
| Ağ İzleyicisi akış günlüklerinde trafik analizi etkinleştirilmelidir | Trafik analizi, Azure bulutunuzda trafik akışıyla ilgili içgörüler sağlamak için akış günlüklerini analiz eder. Azure aboneliklerinizdeki ağ etkinliğini görselleştirmek ve sık erişimli noktaları belirlemek, güvenlik tehditlerini tanımlamak, trafik akışı desenlerini anlamak, ağ yanlış yapılandırmalarını belirlemek ve daha fazlasını yapmak için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Genel IP'ler ve Genel IP ön ekleri FirstPartyUsage etiketine sahip olmalıdır | Tüm Genel IP adreslerinin ve Genel IP Ön Eklerinin FirstPartyUsage etiketine sahip olduğundan emin olun. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| SQL Server bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm SQL Server'ları denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama Hesapları sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış depolama hesaplarını denetler. | Denetim, Devre Dışı | 1.0.0 |
| Alt ağlar özel olmalıdır | Varsayılan giden erişimi engelleyerek alt ağlarınızın varsayılan olarak güvenli olduğundan emin olun. Daha fazla bilgi için https://aka.ms/defaultoutboundaccessretirement adresine gidin | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal Hub'lar Azure Güvenlik Duvarı ile korunmalıdır | İnternet çıkış ve giriş trafiğini korumak ve ayrıntılı olarak denetlemek için Sanal Hub'larınıza bir Azure Güvenlik Duvarı dağıtın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal makineler onaylı bir sanal ağa bağlanmalıdır | Bu ilke, onaylanmamış bir sanal ağa bağlı tüm sanal makineleri denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal ağlar Azure DDoS Koruması ile korunmalıdır | Azure DDoS Koruması ile sanal ağlarınızı hacimli saldırılara ve protokol saldırılarına karşı koruyun. Daha fazla bilgi için https://aka.ms/ddosprotectiondocs adresini ziyaret edin. | Değiştir, Denetle, Devre Dışı | 1.0.1 |
| Sanal ağlar belirtilen sanal ağ geçidini kullanmalıdır | Bu ilke, varsayılan yol belirtilen sanal ağ geçidine işaret etmiyorsa tüm sanal ağı denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| VPN ağ geçitleri noktadan siteye kullanıcılar için yalnızca Azure Active Directory (Azure AD) kimlik doğrulamasını kullanmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, VPN Gateway'lerin kimlik doğrulaması için yalnızca Azure Active Directory kimliklerini kullanmasını sağlayarak güvenliği artırır. Azure AD kimlik doğrulaması hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF) Application Gateway için belirtilen modu kullanmalıdır | Application Gateway için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF) Azure Front Door Service için belirtilen modu kullanmalıdır | Azure Front Door Service için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Etiketler
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Etiketi kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak grubu oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Etiketi kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. Kaynak gruplarındaki etiketleri değiştirmez. | değiştir | 1.0.0 |
| Aboneliklere etiket ekleme | Belirtilen etiketi ve değeri bir düzeltme görevi aracılığıyla aboneliklere ekler. Etiketin değeri farklıysa etiket değiştirilmez. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | değiştir | 1.0.0 |
| Kaynak gruplarına etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Kaynaklara etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Kaynak gruplarındaki etiketleri değiştirmez. | değiştir | 1.0.0 |
| Aboneliklerde etiket ekleme veya değiştirme | Bir düzeltme görevi aracılığıyla aboneliklerde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | değiştir | 1.0.0 |
| Kaynak grubundaki etiketi ve değerini ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, kaynak grubundaki belirtilen etiketi ve değerini ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynak grupları değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynak gruplarının etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Kaynak grupları için geçerli değildir. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.1 |
| Etiketi kaynak grubundan devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde üst kaynak grubunda belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Etiket eksikse, etiketi kaynak grubundan devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, üst kaynak grubundaki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Abonelikten bir etiketi devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | değiştir | 1.0.0 |
| Etiket eksikse, etiketi abonelikten devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | değiştir | 1.0.0 |
| Etiketi ve değerini kaynak gruplarında gerektirme | Kaynak gruplarında gerekli bir etiketi ve değerini zorunlu kılar. | reddet | 1.0.0 |
| Etiketi ve değerini kaynaklarda gerektirme | Gerekli bir etiketi ve değerini zorunlu kılar. Kaynak grupları için geçerli değildir. | reddet | 1.0.1 |
| Etiketi kaynak gruplarında gerektirme | Etiketin kaynak gruplarında mevcut olmasını zorunlu kılar. | reddet | 1.0.0 |
| Etiketi kaynaklarda gerektirme | Etiketin mevcut olmasını zorunlu kılar. Kaynak grupları için geçerli değildir. | reddet | 1.0.1 |
Genel
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İzin verilen tanımlar | Bu ilke, kuruluşunuzun kaynakları dağıtırken belirleyebileceği konumları kısıtlamanıza olanak verir. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. Kaynak gruplarını, Microsoft.AzureActiveDirectory/b2cDirectories'i ve 'global' bölgesini kullanan kaynakları dışlar. | reddet | 1.0.0 |
| Kaynak grupları için izin verilen konumlar | Bu ilke, kuruluşunuzun kaynak grupları oluşturabileceği konumları kısıtlamanızı sağlar. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. | reddet | 1.0.0 |
| İzin verilen kaynak türleri | Bu ilke, kuruluşunuzun dağıtabileceği kaynak türlerini belirtmenizi sağlar. Yalnızca 'etiketleri' ve 'konumu' destekleyen kaynak türleri bu ilkeden etkilenir. Tüm kaynakları kısıtlamak için lütfen bu ilkeyi çoğaltın ve 'mod'u 'Tümü' olarak değiştirin. | reddet | 1.0.0 |
| Kaynak konumunu denetleme, kaynak grubu konumuyla eşleşir | Kaynak konumunun kaynak grubu konumuyla eşleşerek eşleşmediğini denetleme | denetim | 2.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Önizleme özelliklerini ayarlamak için abonelikleri yapılandırma | Bu ilke, mevcut aboneliğin önizleme özelliklerini değerlendirir. Abonelikler, yeni bir önizleme özelliğine kaydolmak için düzeltilebilir. Yeni abonelikler otomatik olarak kaydedilmez. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Kaynak türlerinin silinmesine izin verme | Bu ilke, reddetme eylemi etkisini kullanarak silme çağrılarını engelleyerek kuruluşunuzun yanlışlıkla silinmeye karşı koruyabileceği kaynak türlerini belirtmenize olanak tanır. | DenyAction, Devre Dışı | 1.0.1 |
| M365 kaynaklarına İzin Verme | M365 kaynaklarının oluşturulmasını engelle. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MCPP kaynaklarına izin verme | MCPP kaynaklarının oluşturulmasını engelleyin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kullanım Maliyetleri Kaynaklarını Dışla | Bu ilke, Kullanım Maliyetleri Kaynaklarını dağıtmanıza olanak tanır. Kullanım maliyetleri, kullanım temelinde faturalandırılan tarifeli depolama ve Azure kaynakları gibi öğeleri içerir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| İzin verilmeyen kaynak türleri | Ortamınızda hangi kaynak türlerinin dağıtılabileceğini kısıtlayın. Kaynak türlerini sınırlamak, ortamınızın karmaşıklığını ve saldırı yüzeyini azaltırken maliyetlerin yönetilmesine de yardımcı olabilir. Uyumluluk sonuçları yalnızca uyumlu olmayan kaynaklar için gösterilir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.