你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure IoT 中心的 Azure Policy 内置定义
有关演示如何实现常见 IoT 方案的 IoT 中心示例代码,请参阅 IoT 中心快速入门。 有用于多种编程语言(包括 C、Node.js 和 Python)的快速入门。
此页是 Azure IoT 中心的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Azure IoT 中心应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥对 IoT 中心内的数据进行静态加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 在创建 IoT 中心期间必须配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://aka.ms/iotcmk。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 | 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure IoT 中心应为服务 API 禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure IoT 中心仅将 Azure Active Directory 标识作为服务 API 身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure IoT 中心以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure IoT 中心仅需要 Azure Active Directory 标识进行身份验证。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth。 | 修改,已禁用 | 1.0.0 |
将 IoT 中心设备预配服务实例配置为禁用公用网络访问 | 对 IoT 中心设备预配实例禁用公用网络访问,以防止通过公共 Internet 对其进行访问。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | 修改,已禁用 | 1.0.0 |
为 IoT 中心设备预配服务实例配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 为 Azure IoT 中心配置专用终结点 | 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT 中心部署专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 microsoft.devices/provisioningservices 日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.devices/provisioningservices 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用 microsoft.devices/provisioningservices 到 Log Analytics 的类别组的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.devices/provisioningservices 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
为 microsoft.devices/provisioningservices 启用按类别组进行日志记录以存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到 microsoft.devices/provisioningservices 存储 帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
IoT 中心设备预配服务实例应禁用公用网络访问 | 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Deny、Disabled | 1.0.0 |
IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
修改 - 将 Azure IoT 中心配置为禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 | 修改,已禁用 | 1.0.0 |
应为 IoT 中心启用专用终结点 | 专用终结点连接通过启用到 IoT 中心的专用连接来强制实施安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | Audit、Disabled | 1.0.0 |
应禁用对 Azure IoT 中心进行公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。