你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure NetApp 文件的 Azure Policy 定义

Azure Policy 可帮助实施组织标准并大规模评估合规性。 Azure Policy 通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下钻取。 它还通过对现有资源的批量修正以及对新资源的自动修正,帮助资源符合规范。

Azure Policy 的常见用例包括实施监管来满足资源一致性、法规遵从性、安全性、成本和管理方面的要求。 Azure 环境中已经内置了这些常见用例的策略定义,帮助你入门。

若要在 Azure Policy 中创建并实施策略,请先创建(内置或自定义)策略定义。 每种策略定义在其特定的条件下将被强制执行。 并且,在满足条件时将出现定义的效果。 Azure Policy 的自定义策略定义和内置策略定义都支持 Azure NetApp 文件。

自定义策略定义

Azure NetApp 文件支持 Azure Policy。 可以通过创建自定义策略定义将 Azure NetApp 文件与 Azure Policy 集成。 可以在通过 Azure Policy 强制实施快照策略Azure Policy 现在可用于 Azure NetApp 文件中找到示例。

内置策略定义

使用 Azure NetApp 文件的 Azure Policy 内置定义,组织管理员能够限制用户创建不安全卷,或者对现有卷进行审核。 Azure Policy 中的每个策略定义都有单一 effect。 该效果确定了在评估匹配的策略规则时发生的情况。

Azure Policy 的以下 effect 可与 Azure NetApp 文件配合使用:

  • Deny:拒绝创建不合规的卷
  • Audit:审核现有卷是否合规
  • Disable:禁用策略定义

以下 Azure Policy 内置定义可与 Azure NetApp 文件配合使用:

  • Azure NetApp 文件卷不得使用 NFSv3 协议类型。
    此策略定义不允许使用 NFSv3 协议类型来防止对卷进行不安全的访问。 应使用 NFSv4.1 或带有 Kerberos 协议的 NFSv4.1 来访问 NFS 卷,以确保数据完整性和加密。

  • NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据加密。
    此策略定义只允许使用 Kerberos 隐私 (krb5p) 安全模式,以确保对数据进行加密。

  • NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据完整性或数据隐私。
    此策略定义确保选择了 Kerberos 完整性 (krb5i)或 Kerberos 隐私 (krb5p),以确保数据完整性和数据隐私。

  • Azure NetApp 文件 SMB 卷应使用 SMB3 加密。
    此策略定义禁止在没有 SMB3 加密的情况下创建 SMB 卷,以确保数据完整性和数据隐私。

若要了解如何将策略分配给资源并查看合规性报告,请参阅分配策略

后续步骤