你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的 Kubernetes 的 Azure Policy 内置定义

本页面是已启用 Azure Arc 的 Kubernetes 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

已启用 Azure Arc 的 Kubernetes

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 6.0.0-preview
[预览]:应在 AKS 群集中安装 Azure 备份扩展 确保在 AKS 群集中保护安装备份扩展以利用 Azure 备份。 适用于 AKS 的 Azure 备份是适用于 AKS 群集的安全云本机数据保护解决方案 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:配置已启用 Azure Arc 的 Kubernetes 群集以安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc DeployIfNotExists、Disabled 7.3.0-preview
[预览]:在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 强制在具有给定标记的所有 AKS 群集上安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0-preview
[预览]:在没有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 在没有特定标记值的所有 AKS 群集上强制安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:Kubernetes 群集应限制创建给定资源类型 给定的 Kubernetes 资源类型不应部署在特定命名空间中。 Audit、Deny、Disabled 2.3.0-preview
已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展 Azure Arc 的 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc AuditIfNotExists、Disabled 1.1.0
应使用 Azure Arc 专用链接范围配置已启用 Azure Arc 的 Kubernetes 群集 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink Audit、Deny、Disabled 1.0.0
已启用 Azure Arc 的 Kubernetes 群集应安装 Open Service Mesh 扩展 Open Service Mesh 扩展为应用程序服务的安全性、流量管理、可观察性提供所有标准服务网格功能。 在此处了解详细信息:https://aka.ms/arc-osm-doc DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
已启用 Azure Arc 的 Kubernetes 群集应已安装 Strimzi Kafka 扩展 Strimzi Kafka 扩展使操作员可以安装 Kafka,以构建实时数据管道和具有安全性和可观测性功能的流式处理应用程序。 在此处了解详细信息:https://aka.ms/arc-strimzikafka-doc DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
配置已启用 Azure Arc 的 Kubernetes 群集以安装 Azure Policy 扩展 为 Azure Arc 部署 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc DeployIfNotExists、Disabled 1.1.0
将已启用 Azure Arc 的 Kubernetes 群集配置为使用 Azure Arc 专用链接范围 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink 修改,已禁用 1.0.0
在 Kubernetes 群集上配置 Flux 扩展安装 在 Kubernetes 群集上安装 Flux 扩展,以便在群集中启用“fluxconfigurations”部署 DeployIfNotExists、Disabled 1.0.0
在 KeyVault 中使用 Bucket 源和机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 Bucket SecretKey。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和 HTTPS CA 证书通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要 HTTPS CA 证书。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.1
使用 Git 存储库和 HTTPS 机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 HTTPS 密钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和本地机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 Git 存储库和 SSH 机密通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用公共 Git 存储库通过 Flux v2 配置来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用本地机密通过指定 Flux v2 Bucket 源来配置 Kubernetes 群集 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy DeployIfNotExists、Disabled 1.0.0
使用 HTTPS 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中存储的 HTTPS 用户和密钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
不使用机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
使用 SSH 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
确保群集容器已配置就绪情况或运行情况探测 此策略强制所有 Pod 配置就绪情况和/或运行情况探测。 探测类型可以是 tcpSocket、httpGet 和 exec 的任何一种。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://aka.ms/kubepolicydoc Audit、Deny、Disabled 3.3.0
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.3.0
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.2.0
Kubernetes 群集容器不应使用禁止的 sysctl 接口 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.2.0
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes 群集容器只应使用允许的功能 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes 群集容器应只使用允许的映像 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.3.0
Kubernetes 群集容器只应使用允许的 ProcMountType Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.2.0
Kubernetes 群集容器应仅使用允许的拉取策略 限制容器的拉取策略,以强制容器仅在部署上使用允许的映像 Audit、Deny、Disabled 3.2.0
Kubernetes 群集容器只应使用允许的 seccomp 配置文件 Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.2.0
Kubernetes 群集容器应使用只读根文件系统运行 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.3.0
Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.2.0
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes 群集 Pod 和容器只应使用允许的 SELinux 选项 Pod 和容器只应使用 Kubernetes 群集中允许的 SELinux 选项。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.2.0
Kubernetes 群集 Pod 只应使用允许的卷类型 Pod 只能使用 Kubernetes 群集中允许的卷类型。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.2.0
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes 群集 Pod 应使用指定的标签 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.2.0
Kubernetes 群集服务应只侦听允许的端口 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.2.0
Kubernetes 群集服务只应使用允许的外部 IP 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.2.0
Kubernetes 群集不应允许特权容器 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.2.0
Kubernetes 群集不应使用裸 Pod 阻止使用裸 Pod。 如果节点发生故障,将不会重新计划裸 Pod。 Pod 应由 Deployment、Replicset、Daemonset 或 Jobs 进行管理 Audit、Deny、Disabled 2.2.0
Kubernetes 群集 Windows 容器不应过度使用 CPU 和内存 Windows 容器资源请求应小于或等于资源限制,或者不指定以避免过度提交。 如果过度预配了 Windows 内存,则会在磁盘中处理页面(这会降低性能),而不会因内存不足而终止容器 Audit、Deny、Disabled 2.2.0
Kubernetes 群集 Windows 容器不应按 ContainerAdministrator 运行 防止使用 ContainerAdministrator 作为用户来执行 Windows Pod 或容器的容器进程。 此建议旨在提高 Windows 节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/ Audit、Deny、Disabled 1.2.0
Kubernetes 群集 Windows 容器应仅使用已批准的用户和域用户组运行 控制 Windows Pod 和容器可用于在 Kubernetes 群集中运行的用户。 此建议是 Windows 节点上 Pod 安全策略的一部分,旨在提高 Kubernetes 环境的安全性。 Audit、Deny、Disabled 2.2.0
Kubernetes 群集 Windows Pod 不应运行 HostProcess 容器 防止对 Windows 节点具有特权访问。 此建议旨在提高 Windows 节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/ Audit、Deny、Disabled 1.0.0
Kubernetes 群集应只可通过 HTTPS 进行访问 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.2.0
Kubernetes 群集应禁用自动装载 API 凭据 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.2.0
Kubernetes 群集不得允许容器特权提升 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.2.0
Kubernetes 群集不应允许终结点编辑 ClusterRole/system:aggregate-to-edit 的权限 由于“CVE-2021-25740:终结点和EndpointSlice 权限允许跨命名空间转发 https://github.com/kubernetes/kubernetes/issues/103675”问题,ClusterRole/system:aggregate-to-edit 不应允许终结点编辑权限。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc Audit、Disabled 3.2.0
Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes 群集不应使用特定的安全功能 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 5.2.0
Kubernetes 群集不应使用默认命名空间 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 4.2.0
Kubernetes 群集应使用容器存储接口 (CSI) 驱动程序 StorageClass 容器存储接口 (CSI) 是有关在 Kubernetes 上的容器化工作负载中公开任意块和文件存储系统的一套标准。 自 AKS 版本 1.21 起,应弃用树内预配器 StorageClass。 若要了解详细信息,请访问以下链接:https://aka.ms/aks-csi-driver Audit、Deny、Disabled 2.3.0
Kubernetes 资源应具有所需的注释 确保对给定的 Kubernetes 资源类型附加所需的注释,以改进 Kubernetes 资源的资源管理。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc Audit、Deny、Disabled 3.2.0

后续步骤