你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure 容器应用的 Azure Policy 内置定义
此页是适用于 Azure 容器应用的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
策略定义
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在容器应用上启用身份验证 | 容器应用身份验证是一项功能,可以阻止匿名 HTTP 请求访问容器应用,或在令牌访问容器应用之前对其进行身份验证 | AuditIfNotExists、Disabled | 1.0.1 |
| 容器应用环境应使用网络注入 | 容器应用环境应使用虚拟网络注入来实现以下目的:1. 将容器应用与公共 Internet 隔离 2. 启用与本地资源或其他 Azure 虚拟网络中的资源的网络集成 3. 对流入和流出环境的网络流量进行更精细的控制。 | 审核、已禁用、拒绝 | 1.0.2 |
| 容器应用应配置卷装载 | 强制使用容器应用的卷装载,以确保持久性存储容量的可用性。 | Audit、Deny、Disabled | 1.0.1 |
| 容器应用环境应禁用公用网络访问 | 通过内部负载均衡器公开容器应用环境,禁用公用网络访问以提高安全性。 这样就不需要公共 IP 地址,并可以防止对环境中的所有容器应用进行 Internet 访问。 | Audit、Deny、Disabled | 1.0.1 |
| 容器应用应禁用外部网络访问 | 通过强制实施仅限内部的入口来禁用对容器应用进行外部网络访问。 这可以确保将容器应用的入站通信限制为容器应用环境内部的调用方。 | Audit、Deny、Disabled | 1.0.1 |
| 容器应用只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 禁用“allowInsecure”会导致容器应用的请求从 HTTP 自动重定向到 HTTPS 连接。 | Audit、Deny、Disabled | 1.0.1 |
| 应为容器应用启用托管标识 | 强制实施托管标识可确保容器应用可以安全地对支持 Azure AD 身份验证的任何资源进行身份验证 | Audit、Deny、Disabled | 1.0.1 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。