你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 服务总线消息传递的 Azure Policy 内置定义

此页是 Azure 服务总线消息传递的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 服务总线消息传递

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
Azure 服务总线命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 服务总线命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb Audit、Deny、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
配置 Azure 服务总线命名空间以禁用本地身份验证 禁用本地身份验证方法,使 Azure 服务总线命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb 修改,已禁用 1.0.0
为服务总线命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service DeployIfNotExists、Disabled 1.0.0
将服务总线的诊断设置部署到事件中心 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.0.0
将服务总线的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 DeployIfNotExists、Disabled 2.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
服务总线命名空间应禁用公用网络访问 Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service Audit、Deny、Disabled 1.0.0
服务总线命名空间应启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 1.0.0
服务总线高级命名空间应使用客户管理的密钥进行加密 Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 Audit、Disabled 1.0.0

后续步骤