本頁為
每個內建政策定義的名稱會連結到 Azure 入口網站中的政策定義。 請使用Version欄位中的連結,查看Azure 原則 GitHub repo的原始碼。
Azure Arc-enabled Kubernetes
| 名稱 (Azure portal) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Kubernetes 叢集Azure Arc應該安裝了適用於雲端的 Microsoft Defender擴充功能 | 適用於雲端的 Microsoft Defender 擴充套件(Azure Arc)為你啟用的 Arc Kubernetes 叢集提供威脅防護。 該擴充功能會從叢集中所有節點收集資料,並傳送給雲端的 Kubernetes 後端Azure Defender進行進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists,已停用 | 6.0.0-preview |
| [預覽]:Azure 備份擴充功能應安裝於 AKS 叢集 | 確保在你的 AKS 叢集中安裝備份擴充功能以利用 Azure 備份。 Azure 備份 for AKS 是一個安全且雲端原生的資料保護解決方案,適用於 AKS 叢集 | AuditIfNotExists,已停用 | 1.0.0-preview |
| [預覽]:設定啟用Azure Arc Kubernetes 叢集安裝適用於雲端的 Microsoft Defender擴充功能 | 適用於雲端的 Microsoft Defender 擴充套件(Azure Arc)為你啟用的 Arc Kubernetes 叢集提供威脅防護。 該擴充功能會從叢集中所有節點收集資料,並傳送給雲端的 Kubernetes 後端Azure Defender進行進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | DeployIfNotExists,已停用 | 7.3.0-preview |
| [預覽]:在 AKS 叢集(管理叢集)中安裝 Azure 備份 擴充功能,並使用指定標籤. | 安裝 Azure 備份 擴充功能是保護 AKS 叢集的前提條件。 在包含指定標籤的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [預覽]:在 AKS 叢集(管理叢集)安裝 Azure 備份 擴充功能,但未設定指定標籤。 | 安裝 Azure 備份 擴充功能是保護 AKS 叢集的前提條件。 在沒有特定標籤值的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [預覽]:Kubernetes 叢集容器應該只使用允許的 sysctl 介面 | 容器應該只使用 Kubernetes 叢集中允許的 sysctl 介面。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:Kube 叢集應限制指定資源類型的建立 | 指定的 Kube 資源類型不應部署在特定命名空間中。 | 稽核、拒絕、停用 | 2.3.0-preview |
| 啟用 Azure Arc 的 Kubernetes 叢集應該安裝 Azure 原則 擴充功能 | Azure Arc 的 Azure 原則 擴充功能,以集中且一致的方式,提供大規模的強制執行與保障,針對您的 Arc 啟用的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists,已停用 | 1.1.0 |
| 啟用 Azure Arc 的 Kubernetes 叢集應配置為 Azure Arc Private Link Scope | Azure Private Link 讓你能將虛擬網路連接到 Azure 服務,而不需要在來源或目的地設置公開 IP 位址。 Private Link 平台負責消費者與服務之間的連接,透過 Azure 骨幹網路。 透過將啟用Azure Arc的伺服器映射到設定為私有端點的 Azure Arc Private Link範圍,可降低資料外洩風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 稽核、拒絕、停用 | 1.0.0 |
| 啟用 Azure Arc 的 Kubernetes 叢集應該安裝 Open Service Mesh 擴充功能 | Open Service Mesh 延伸模組提供所有標準服務網格功能,用於應用程式服務的安全性、流量管理和觀察性。 在這裡深入了解:https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 Azure Arc 的 Kubernetes 叢集應該安裝 Strimzi Kafka 擴充功能 | Strimzi Kafka 延伸模組提供運算子來安裝 Kafka,以建置即時資料管線,以及具有安全性與可檢視性功能的串流應用程式。 在以下位置深入了解:https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Configure Azure Arc 啟用 Kubernetes 叢集安裝 Azure 原則 擴充功能 | 部署 Azure 原則 的 Azure Arc 擴充功能,以提供大規模強制措施,並以集中且一致的方式保護您的 Arc 啟用 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | DeployIfNotExists,已停用 | 1.1.0 |
| 配置啟用Azure Arc的 Kubernetes 叢集以使用 Azure Arc Private Link 範圍 | Azure Private Link 讓你能將虛擬網路連接到 Azure 服務,而不需要在來源或目的地設置公開 IP 位址。 Private Link 平台負責消費者與服務之間的連接,透過 Azure 骨幹網路。 透過將啟用Azure Arc的伺服器映射到設定為私有端點的 Azure Arc Private Link範圍,可降低資料外洩風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
| 設定 Kubernetes 叢集上的 Flux 延伸模組安裝 | 在 Kubernetes 叢集安裝 Flux 延伸模組,以在叢集中啟用 'fluxconfigurations' 部署 | DeployIfNotExists,已停用 | 1.0.0 |
| 使用 KeyVault 中的貯體來源和祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要儲存在 金鑰保存庫 中的桶秘密金鑰。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用 Git 存放庫和 HTTPS CA 憑證,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 HTTPS CA 憑證。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用 Git 存放庫和 HTTPS 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要將 HTTPS 金鑰秘密存於 金鑰保存庫 中。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用 Git 存放庫和本機祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用 Git 存放庫和 SSH 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要將 SSH 私鑰秘密儲存在 金鑰保存庫 中。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用公用 Git 存放庫,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用本機祕密,以指定的 Flux v2 Bucket 來源來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists,已停用 | 1.1.0 |
| 使用採用 HTTPS 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義要求 HTTPS 使用者與金鑰秘密存放於 金鑰保存庫。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 使用未使用祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 使用採用 SSH 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義要求 金鑰保存庫 中有一個 SSH 私鑰秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 請確認叢集容器已設定整備或活躍度探查 | 此原則會強制所有 Pod 都已設定整備度探查和/或活躍度探查。 探查類型可以是任何 tcpSocket、HTTPGet 和 exec 任一個。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需使用此原則的指示,請造訪 https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 3.3.0 |
| 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
| 必須定義 Kubernetes 叢集容器 CPU 和記憶體資源要求 | 強制執行容器 CPU 和記憶體資源要求,以確保排程節點具有必要的資源。 | 稽核、拒絕、停用 | 1.0.0-preview |
| Kubernetes 叢集容器不應共用主機命名空間 | 封鎖 Pod 容器共用 Kubernetes 叢集中的主機程序識別碼命名空間、主機 IPC 命名空間和主機網路命名空間。 此建議符合主機命名空間的 Kubernetes Pod 安全標準,並且是 CIS 5.2.1、5.2.2 和 5.2.3 的一部分,旨在提高 Kubernetes 環境的安全性。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 6.0.0 |
| Kubernetes 叢集中的容器不得使用禁止的 sysctl 介面 | 容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.1 |
| Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
| Kubernetes 叢集中的容器只能使用允許的 ProcMountType | Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
| Kubernetes 叢集容器應只使用允許的提取原則 | 限制容器的提取原則略,以強制容器在部署上只使用允許的映像 | 稽核、拒絕、停用 | 3.2.0 |
| Kubernetes 叢集中的容器只能使用允許的 seccomp 設定檔 | Pod 容器只會在 Kubernetes 叢集中使用允許的 seccomp 設定檔。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
| Kubernetes 叢集中的 Pod FlexVolume 磁碟區只能使用允許的驅動程式 | Pod FlexVolume 磁碟區只能在 Kubernetes 叢集中使用允許的驅動程式。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 此政策通常適用於Kubernetes Service(AKS)及啟用Azure Arc的Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
| Kubernetes 叢集 Pod 和容器應遵循 SELinux 安全標準 | 此政策對 SELinux 選項強制執行 Kubernetes Pod 安全標準。 在 PSS 模式下,'user' 和 'role' 欄位必須是空的,而 'type' 欄位必須是允許的值之一。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 8.0.0 |
| Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集中的 Pod 只能使用允許的磁碟區類型 | Pod 在 Kubernetes 叢集中只會使用允許的磁碟區類型。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集網繭應該只使用核准的主機網路和連接埠清單 | 限制 Pod 存取主機網路和 Kubernetes 叢集中允許的主機連接埠。 此建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性,並符合 hostPort 的 Pod 安全標準 (PSS)。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 7.0.0 |
| Kubernetes 叢集 Pod 應使用指定的標籤 | 使用指定的標籤來識別 Kubernetes 叢集中的 Pod。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
| 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
| Kubernetes 叢集服務只可使用允許的外部 IP | 使用允許的外部 IP 來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
| Kubernetes 叢集不應使用裸 Pod | 封鎖使用祼 Pod。 若節點失敗,不會重新排程祼 Pod。 Pod 應由 Deployment、Replicset、Daemonset 或 Jobs 管理 | 稽核、拒絕、停用 | 2.3.1 |
| Kubernetes 叢集Windows容器不應該過度投入 CPU 和記憶體 | Windows 容器的資源請求應少於或等於資源限制,或未指定,以避免過度提交。 如果 Windows 記憶體過度配置,它會處理磁碟中的頁面——這可能會降低效能——而不是以記憶體不足終止容器 | 稽核、拒絕、停用 | 2.2.0 |
| 避免使用 ContainerAdministrator 作為執行 Windows Pod 或容器容器程序的使用者。 此建議旨在提升 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | 稽核、拒絕、停用 | 1.2.0 | |
| 控制使用者,讓 Windows Pod 和容器能在 Kubernetes 叢集中執行。 此建議是 Windows 節點 Pod 安全政策的一部分,旨在提升 Kubernetes 環境的安全性。 | 稽核、拒絕、停用 | 2.2.0 | |
| Kubernetes 叢集Windows pods 不應該執行 HostProcess 容器 | 防止對 Windows 節點的特殊權限存取。 此建議旨在提升 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | 稽核、拒絕、停用 | 1.0.0 |
| Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 此功能目前已普遍適用於 Kubernetes Service(AKS),並於 Azure Arc 啟用的 Kubernetes 預覽版中。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、拒絕、停用 | 9.0.0 |
| Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
| Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 8.0.0 |
| Kubernetes 叢集不應允許 ClusterRole/system: 彙總到編輯的端點編輯權限 | 因為 CVE-2021-25740,ClusterRole/system:aggregate-to-edit 不應該允許端點編輯權限,端點與 EndpointSlice 權限允許跨命名空間轉寄,https://github.com/kubernetes/kubernetes/issues/103675。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、已停用 | 3.2.0 |
| Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
| Kubernetes 叢集不應使用特定的安全性功能 | 避免使用 Kubernetes 叢集中的特定安全性功能,以防止未授與權限存取 Pod 資源。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
| Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
| Kubernetes 叢集應使用容器儲存體介面 (CSI) 驅動程式 StorageClass | 容器儲存體介面 (CSI) 是一種標準,可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。 樹狀結構內佈建程式 StorageClass 應自 AKS 1.21 版起淘汰。 若要深入了解,https://aka.ms/aks-csi-driver | 稽核、拒絕、停用 | 2.3.0 |
| Kubernetes 資源應該有必要的注釋 | 請確保已在指定的 Kubernetes 資源種類上附加必要的注釋,以改善您 Kubernetes 資源的資源管理。 此政策通常適用於Kubernetes Service(AKS),以及啟用Azure Arc的Kubernetes預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、拒絕、停用 | 3.2.0 |
下一步
- 請參考 Azure 原則 GitHub 倉庫 上的內建功能。
- 請檢視Azure 原則定義結構。
- 了解Azure 原則定義效應。