你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此页面是Azure Storage的 Azure Policy 内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Microsoft。存储
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应为存储帐户中的 Blob 启用Azure Backup | 启用Azure Backup,确保保护存储帐户。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应在Azure文件共享上启用Azure Backup | 启用Azure Backup,确保保护Azure文件共享。 Azure Backup是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:使用新策略为具有给定标记的新恢复服务保管库配置Azure Files共享的备份 | 通过在存储帐户所在的同一位置和资源组中部署恢复服务保管库,为所有Azure Files强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择在包含指定标记的存储帐户中包含Azure Files来控制分配范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:为同一位置的现有恢复服务保管库配置具有给定标记的 Azure Files 共享的备份 | 将所有Azure Files备份备份到存储帐户所在的同一区域中的现有中央恢复服务保管库来强制备份。 保管库可以位于相同或不同的订阅中。 当中心团队跨订阅管理备份时,这非常有用。 可以选择将Azure Files包含在具有指定标记的存储帐户中,以控制策略分配的范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:使用新策略为没有给定标记的新恢复服务保管库配置 Azure Files 共享的备份 | 通过在存储帐户所在的同一位置和资源组中部署恢复服务保管库,为所有Azure Files强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择在包含指定标记的存储帐户中排除Azure Files,以控制分配范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:为同一位置的现有恢复服务保管库配置没有给定标记的Azure Files共享的备份 | 将所有Azure Files备份备份到存储帐户所在的同一区域中的现有中央恢复服务保管库来强制备份。 保管库可以位于相同或不同的订阅中。 当中心团队跨订阅管理备份时,这非常有用。 可以选择在具有指定标记的存储帐户中排除Azure Files,以控制策略分配的范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:存储帐户应为区域冗余 | 可以将存储帐户配置为区域冗余或非区域冗余。 如果存储帐户的 SKU 名称不以“ZRS”结尾,或者其类型为“存储”,则它不是区域冗余的。 此策略可确保存储帐户使用区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure File Sync应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置专用终结点Azure File Sync | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Blob 服务的诊断设置以Log Analytics工作区 | 创建或更新缺少此诊断设置的任何 blob 服务时,部署 Blob 服务的诊断设置,以将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 将文件服务诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何文件服务时,将文件服务的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 将队列服务的诊断设置配置为Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何队列服务时,将队列服务的诊断设置部署到Log Analytics工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 将存储帐户的诊断设置配置为Log Analytics工作区 | 创建或更新缺少此诊断设置的任何存储帐户时,将存储帐户的诊断设置部署到Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 配置表服务的诊断设置以Log Analytics工作区 | 在创建或更新缺少此诊断设置的任何表服务时,将表服务的诊断设置部署到Log Analytics工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 在存储帐户上配置数据的安全传输 | 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 为存储帐户上的 Blob 和容器配置软删除 | 在存储帐户上为 Blob 和容器部署软删除(如果尚未启用)。 这可确保使用可自定义的保留期进行数据保护。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将存储帐户配置为使用专用链接连接 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
| 配置存储帐户以仅通过网络 ACL 旁路配置来限制网络访问。 | 要提高存储帐户的安全性,请仅通过网络 ACL 旁路启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | 修改,已禁用 | 1.0.0 |
| 将存储帐户公共访问配置为不允许 | Azure Storage中对容器和 blob 的匿名公共读取访问是共享数据的一种便捷方法,但可能存在安全风险。 为了防止因匿名访问而导致的数据泄露,Microsoft建议防止对存储帐户的公共访问,除非你的方案需要它。 | 修改,已禁用 | 1.0.0 |
| 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 | Audit、Deny、Disabled | 1.0.0 |
| 在 resourceGroupName RG 中创建 VNet Flowlog 的区域存储帐户 | 在分配的范围和资源组 nwtarg-subscriptionID<> 下为 VNet 流日志创建区域存储帐户。 | DeployIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC 缓存(microsoft.storagecache/caches)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存(microsoft.storagecache/caches)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将存储移动程序 (microsoft.storagemover/storagemovers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动程序 (microsoft.storagemover/storagemovers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 存储移动器(microsoft.storagemover/storagemovers)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动器(microsoft.storagemover/storagemovers)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将存储移动程序 (microsoft.storagemover/storagemovers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动程序 (microsoft.storagemover/storagemovers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| HPC Cache帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure HPC Cache的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
| Modify - 配置Azure File Sync以禁用公用网络访问 | Azure File Sync的 Internet 可访问的公共终结点由组织策略禁用。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 修改 - 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 请注意,不会修改现有存储帐户来启用 Blob 存储版本控制。 只有新创建的存储帐户才会启用 Blob 存储版本控制 | 修改,已禁用 | 1.0.0 |
| 应为 Azure File Sync公共网络访问> | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure Storage静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 通过客户管理的密钥,可以使用你创建的和拥有的Azure密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | Audit、Deny、Disabled | 3.0.0 |
| 应禁止存储帐户公共访问 | Azure Storage中对容器和 blob 的匿名公共读取访问是共享数据的一种便捷方法,但可能存在安全风险。 为了防止因匿名访问而导致的数据泄露,Microsoft建议防止对存储帐户的公共访问,除非你的方案需要它。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.1 |
| 某些与存储帐户交互的Microsoft services通过网络规则无法授予访问权限的网络运行。 为了帮助这种类型的服务按预期工作,请允许一组受信任的Microsoft services绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 | |
| 存储帐户应受到允许的 SKU 的限制 | 限制组织可以部署的存储帐户 SKU 集。 | Audit、Deny、Disabled | 1.1.0 |
| 应将 Storage 帐户迁移到新的Azure Resource Manager资源 | 使用存储帐户的新Azure Resource Manager提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure Resource Manager的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或基于虚拟网络的防火墙规则匹配的所有登录名。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户配置共享访问签名 (SAS) 策略 | 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 将访问权限委托给Azure Storage帐户中的资源。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止跨租户对象复制 | 审核存储帐户的对象复制限制。 默认情况下,用户可以使用一个Azure AD 租户中的源存储帐户和另一个租户中的目标帐户配置对象复制。 这会造成安全隐患,因为客户的数据可以复制到该客户拥有的存储帐户中。 通过将 allowCrossTenantReplication 设置为 false,仅当源帐户和目标帐户位于同一Azure AD 租户中时,才能配置对象复制。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止共享密钥访问 | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft建议这样做。 | Audit、Deny、Disabled | 2.0.0 |
| 存储帐户应阻止共享密钥访问(不包括 Databricks 创建的存储帐户) | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft建议这样做。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定Azure虚拟网络或公共 Internet IP 地址范围的流量授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应仅通过网络 ACL 旁路配置来限制网络访问。 | 要提高存储帐户的安全性,请仅通过网络 ACL 旁路启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用虚拟网络规则限制网络访问(不包括 Databricks 创建的存储帐户) | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 存储帐户应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 存储帐户应使用专用链接(不包括 Databricks 创建的存储帐户) | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储 SAS 令牌应遵守 7 天的最大有效期 | 此策略可确保存储帐户的共享访问签名(SAS)令牌配置为最长有效期为 7 天或更少。 它拒绝或审核允许更长的 SAS 令牌生存期或未配置适当的过期作的存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft。StorageCache
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC 缓存(microsoft.storagecache/caches)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存(microsoft.storagecache/caches)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC Cache帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure HPC Cache的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
Microsoft。StorageSync
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure File Sync应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置专用终结点Azure File Sync | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| Modify - 配置Azure File Sync以禁用公用网络访问 | Azure File Sync的 Internet 可访问的公共终结点由组织策略禁用。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 应为 Azure File Sync公共网络访问> | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft。ClassicStorage
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将 Storage 帐户迁移到新的Azure Resource Manager资源 | 使用存储帐户的新Azure Resource Manager提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure Resource Manager的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。