你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure HDInsight 的 Azure Policy 内置定义

本页是适用于 Azure HDInsight 的 Azure Policy内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure HDInsight

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:Azure HDInsight 应为区域对齐 Azure HDInsight 可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 Azure HDInsight 被视为区域对齐。 此策略可确保 Azure HDInsight 群集配置为在单个可用性区域内运行。 Audit、Deny、Disabled 1.0.0-preview
应将 Azure HDInsight 群集注入到虚拟网络中 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 审核、已禁用、拒绝 1.0.0
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk Audit、Deny、Disabled 1.0.1
Azure HDInsight 群集应使用主机加密来加密静态数据 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 Audit、Deny、Disabled 1.0.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 Audit、Deny、Disabled 1.0.0
Azure HDInsight 应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl AuditIfNotExists、Disabled 1.0.0
为 Azure HDInsight 群集配置专用终结点 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl DeployIfNotExists、Disabled 1.0.0

后续步骤