你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
ISO 27001 蓝图示例
重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格和部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:
ISO 27001 蓝图示例使用 Azure Policy 提供治理防护措施,帮助你评估特定 ISO 27001 控制要求。 对于 Azure 部署的任何必须实现 ISO 27001 控制要求的体系结构,此蓝图可帮助客户为其部署一组核心策略。
控制映射
Azure Policy 控制映射提供了有关此蓝图中包含的策略定义的详细信息,以及这些策略定义与 ISO 27001 中的合规性域和控制措施的映射关系 。 在将资源分配给体系结构时,Azure Policy 会评估这些资源是否不符合已分配的策略定义。 有关详细信息,请参阅 Azure Policy。
部署
若要部署 Azure 蓝图 ISO 27001 蓝图示例,必须执行以下步骤:
- 基于示例创建新的蓝图
- 将示例副本标记为“已发布”
- 将蓝图副本分配到现有的订阅
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
基于示例创建蓝图
首先,通过使用示例作为起点在环境中创建新的蓝图,来实现蓝图示例。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧的“开始”页中,选择“创建蓝图”下的“创建”按钮。
在“其他示例”下找到“ISO 27001”蓝图示例,然后选择“使用此示例”。
输入该蓝图示例的“基本信息”:
- 蓝图名称:提供 ISO 27001 蓝图示例副本的名称。
- 定义位置:使用省略号并选择要将示例副本保存到的管理组。
选择页面顶部的“项目”选项卡,或页面底部的“下一步: 项目”。
查看构成蓝图示例的项目列表。 许多项目包含稍后我们将要定义的参数。 查看完蓝图示例后,选择“保存草稿”。
发布示例副本
现已在环境中创建蓝图示例的副本。 该副本在创建后处于“草稿”模式,必须先将其发布,然后才能分配和部署它。 可根据环境和需求自定义蓝图示例的副本,但这种修改可能不符合 ISO 27001 控制要求。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧选择“蓝图定义”页。 使用筛选器找到蓝图示例的副本,然后选择它。
选择页面顶部的“发布蓝图”。 在右侧的新窗格中,提供蓝图示例副本的版本。 以后做出修改时,此属性非常有用。 提供更改注释,例如,“基于 ISO 27001 蓝图示例发布的第一个版本”,然后在页面底部选择“发布”。
分配示例副本
成功发布蓝图示例的副本后,可将它分配到它所在的管理组中的某个订阅。 在此步骤中,需提供参数来使蓝图示例副本的每个部署保持唯一。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧选择“蓝图定义”页。 使用筛选器找到蓝图示例的副本,然后选择它。
选择蓝图定义页面顶部的“分配蓝图”。
提供蓝图分配的参数值:
基础
- 订阅:在蓝图示例副本所保存到的管理组中选择一个或多个订阅。 如果选择多个订阅,将使用输入的参数为每个订阅创建一个分配。
- 分配名称:系统会根据蓝图的名称预先填充该名称。 请根据需要更改该名称,或保留原样。
- 位置:选择要在其中创建托管标识的区域。 Azure 蓝图使用此托管标识在分配的蓝图中部署所有项目。 若要了解详细信息,请参阅 Azure 资源的托管标识。
- 蓝图定义版本:选择蓝图示例副本的已发布版本。
锁分配
选择环境的蓝图锁定设置。 有关更多信息,请参阅蓝图资源锁定。
托管标识
保留默认的系统分配的托管标识选项。
蓝图参数
蓝图定义中的许多项目使用本部分定义的参数来提供一致性。
资源和资源组的允许位置:该值指示资源组和资源的允许位置。
项目参数
在本部分定义的参数将应用到定义了这些参数的项目。 这些参数属于动态参数 ,因为它们是在分配蓝图期间定义的。 有关完整列表或项目参数及其说明,请参阅项目参数表 。
输入所有参数后,选择页面底部的“分配”。 随后将创建蓝图分配,并开始部署项目。 部署过程大约需要一小时。 若要检查部署状态,请打开蓝图分配。
项目参数表
下表提供了蓝图项目参数的列表:
| 项目名称 | 项目类型 | 参数名称 | 说明 |
|---|---|---|---|
| [预览]:为 Linux VM 规模集 (VMSS) 部署 Log Analytics 代理 | 策略分配 | Linux VM 规模集 (VMSS) 的 Log Analytics 工作区 | 如果此工作区超出分配范围,则必须手动将“Log Analytics 参与者”权限(或类似权限)授予策略分配的主体 ID。 |
| [预览]:为 Linux VM 规模集 (VMSS) 部署 Log Analytics 代理 | 策略分配 | 可选:支持将 Linux OS 添加到范围的 VM 映像列表 | 可以使用空数组来表示没有可选参数:[] |
| [预览]:为 Linux VM 部署 Log Analytics 代理 | 策略分配 | Linux VM 的 Log Analytics 工作区 | 如果此工作区超出分配范围,则必须手动将“Log Analytics 参与者”权限(或类似权限)授予策略分配的主体 ID。 |
| [预览]:为 Linux VM 部署 Log Analytics 代理 | 策略分配 | 可选:支持将 Linux OS 添加到范围的 VM 映像列表 | 可以使用空数组来表示没有可选参数:[] |
| [预览]:为 Windows VM 规模集 (VMSS) 部署 Log Analytics 代理 | 策略分配 | Windows VM 规模集 (VMSS) 的 Log Analytics 工作区 | 如果此工作区超出分配范围,则必须手动将“Log Analytics 参与者”权限(或类似权限)授予策略分配的主体 ID。 |
| [预览]:为 Windows VM 规模集 (VMSS) 部署 Log Analytics 代理 | 策略分配 | 可选:支持将 Windows OS 添加到范围的 VM 映像列表 | 可以使用空数组来表示没有可选参数:[] |
| [预览]:为 Windows VM 部署 Log Analytics 代理 | 策略分配 | Windows VM 的 Log Analytics 工作区 | 如果此工作区超出分配范围,则必须手动将“Log Analytics 参与者”权限(或类似权限)授予策略分配的主体 ID。 |
| [预览]:为 Windows VM 部署 Log Analytics 代理 | 策略分配 | 可选:支持将 Windows OS 添加到范围的 VM 映像列表 | 可以使用空数组来表示没有可选参数:[] |
| 允许的存储帐户 SKU | 策略分配 | 允许的存储 SKU 列表 | 可为存储帐户指定的 SKU 列表。 |
| 允许的虚拟机 SKU | 策略分配 | 允许的虚拟机 SKU 列表 | 可为虚拟机指定的 SKU 列表。 |
| ISO 27001 的蓝图计划 | 策略分配 | 应启用诊断日志的资源类型列表 | 用于审核是否未启用诊断日志设置的资源类型列表。 Azure Monitor 诊断日志架构中提供了可接受的值。 |
后续步骤
有关蓝图及其使用方式的更多文章: