你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
数据工厂的 Azure Policy 内置定义
适用于:
Azure 数据工厂 
Azure Synapse Analytics
提示
试用 Microsoft Fabric 中的数据工厂,这是一种适用于企业的一站式分析解决方案。 Microsoft Fabric 涵盖从数据移动到数据科学、实时分析、商业智能和报告的所有内容。 了解如何免费开始新的试用!
此页是数据工厂的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
数据工厂
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:Azure 数据工厂管道应仅与允许的域通信 | 若要防止数据和令牌外泄,请设置应允许 Azure 数据工厂与之通信的域。 注意:以公共预览版提供时,不会报告此策略的合规性;若要将策略应用于数据工厂,请在 ADF Studio 中启用出站规则功能。 有关详细信息,请访问 https://aka.ms/data-exfiltration-policy。 | 拒绝、已禁用 | 1.0.0-preview |
| 应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 数据工厂集成运行时应对核心数有限制 | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据工厂链接服务资源类型应在允许列表中 | 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 数据工厂链接服务应使用 Key Vault 来存储机密 | 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
| Azure 数据工厂应使用 Git 存储库进行源代码管理 | 仅配置具有 Git 集成的开发数据工厂。 对测试和生产的更改应通过 CI/CD 进行部署,并且不应进行 Git 集成。 不要将此策略应用于 QA/测试/生产数据工厂。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
| 为数据工厂配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
| 按类别组为 Data factories (V2) (microsoft.datafactory/factories) 启动到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为 Data factories (V2) (microsoft.datafactory/factories) 启动到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为 Data factories (V2) (microsoft.datafactory/factories) 启动到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 应禁用对 Azure 数据工厂的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| 应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 | Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 | Audit、Deny、Disabled | 2.3.0 |
相关内容
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈