Azure 原則 已啟用 Azure Arc 的 Kubernetes 內建定義
此頁面是已啟用 Azure Arc 的 Kubernetes Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
已啟用 Azure Arc 的 Kubernetes
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]: Azure 備份 擴充功能應該安裝在 AKS 叢集中 | 請確定 AKS 叢集中備份延伸模組的保護安裝,以利用 Azure 備份。 適用於 AKS 的 Azure 備份 是 AKS 叢集的安全雲端原生資料保護解決方案 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝 適用於雲端的 Microsoft Defender 擴充功能 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | DeployIfNotExists, Disabled | 7.1.0-preview |
[預覽]: Kubernetes 叢集應該限制建立指定的資源類型 | 指定的 Kubernetes 資源類型不應部署在特定命名空間中。 | Audit, Deny, Disabled | 2.2.0-preview |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應設定為 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Open Service Mesh 擴充功能 | Open Service Mesh 延伸模組提供所有標準服務網格功能,以取得應用程式服務的安全性、流量管理和可檢視性。 在這裡深入瞭解: https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Strimzi Kafka 擴充功能 | Strimzi Kafka 延伸模組提供操作員來安裝 Kafka,以建置即時資料管線,以及具有安全性與可觀察性功能的串流應用程式。 在這裡深入瞭解: https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝 Azure 原則 擴充功能 | 為 Azure Arc 部署 Azure 原則 延伸模組,以集中且一致的方式大規模強制執行並保護您的已啟用 Arc 的 Kubernetes 叢集。 請至https://aka.ms/akspolicydoc,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.1.0 |
設定已啟用 Azure Arc 的 Kubernetes 叢集以使用 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
在 Kubernetes 叢集上設定 Flux 擴充功能的安裝 | 在 Kubernetes 叢集上安裝 Flux 擴充功能,以在叢集中啟用「fluxconfigurations」的部署 | DeployIfNotExists, Disabled | 1.0.0 |
使用 KeyVault 中的貯體來源和秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的貯體取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 Bucket SecretKey。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 HTTPS CA 憑證設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要 HTTPS CA 憑證。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.1 |
使用 Git 存放庫和 HTTPS 秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 HTTPS 金鑰秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和本機秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 Kubernetes 叢集中的本機驗證秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 SSH 秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 SSH 私鑰秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用公用 Git 存放庫設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義不需要秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用本機秘密設定具有指定 Flux v2 Bucket 來源的 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的貯體取得工作負載和組態的真相來源。 此定義需要儲存在 Kubernetes 叢集中的本機驗證秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 HTTPS 秘密以指定的 GitOps 組態設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 HTTPS 使用者和金鑰秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用沒有秘密的指定 GitOps 設定來設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義不需要秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用 SSH 秘密以指定的 GitOps 組態設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要 金鑰保存庫 中的 SSH 私鑰秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
確定叢集容器已設定整備或活躍度探查 | 此原則會強制所有 Pod 都已設定整備和/或活躍度探查。 探查類型可以是任何 tcpSocket、HTTPGet 和 exec。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請流覽 https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.2.0 |
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集容器不應該使用禁止的 sysctl 介面 | 容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集容器應該只使用允許的 ProcMountType | Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.1 |
Kubernetes 叢集容器應該只使用允許的提取原則 | 限制容器的提取原則,強制容器只在部署上使用允許的映像 | Audit, Deny, Disabled | 3.1.0 |
Kubernetes 叢集容器應該只使用允許的 seccomp 配置檔 | Pod 容器只能在 Kubernetes 叢集中使用允許的 seccomp 配置檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集 Pod FlexVolume 磁碟區應該只使用允許的驅動程式 | Pod FlexVolume 磁碟區應該只在 Kubernetes 叢集中使用允許的驅動程式。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.1 |
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集 Pod 和容器應該只使用允許的 SELinux 選項 | Pod 和容器應該只在 Kubernetes 叢集中使用允許的 SELinux 選項。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集 Pod 應該只使用允許的磁碟區類型 | Pod 只能在 Kubernetes 叢集中使用允許的磁碟區類型。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.1 |
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
Kubernetes 叢集 Pod 應該使用指定的標籤 | 使用指定的標籤來識別 Kubernetes 叢集中的 Pod。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
Kubernetes 叢集服務只可使用允許的外部 IP | 使用允許的外部IP來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
Kubernetes 叢集不應該使用裸體 Pod | 封鎖裸體 Pod 的使用。 當節點失敗時,不會重新排程裸體 Pod。 Pod 應該由 Deployment、Replicset、Daemonset 或 Jobs 管理 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集 Windows 容器不應過度認可 CPU 和記憶體 | Windows 容器資源要求應小於或等於資源限制或未指定,以避免過度認可。 如果 Windows 記憶體過度布建,它會處理磁碟上的頁面,這可能會降低效能,而不是終止記憶體不足的容器 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集 Windows 容器不應以容器的形式執行 管理員 istrator | 防止使用 Container 管理員 istrator 作為用戶來執行 Windows Pod 或容器的容器進程。 此建議旨在改善 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.1.0 |
Kubernetes 叢集 Windows 容器只應以已核准的使用者和網域使用者群組執行 | 控制 Windows Pod 和容器可用來在 Kubernetes 叢集中執行的使用者。 這項建議是 Windows 節點上 Pod 安全策略的一部分,旨在改善 Kubernetes 環境的安全性。 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
Kubernetes 叢集不應允許 ClusterRole/system:aggregate-to-edit 的端點編輯許可權 | ClusterRole/system:aggregate-to-edit 不應允許端點編輯許可權,因為 CVE-2021-25740、Endpoint 和 EndpointSlice 許可權允許跨命名空間轉送。 https://github.com/kubernetes/kubernetes/issues/103675 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Disabled | 3.1.0 |
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應該使用特定的安全性功能 | 防止 Kubernetes 叢集中的特定安全性功能,以防止 Pod 資源上的未授與許可權。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
Kubernetes 叢集應該使用 Container 儲存體 Interface(CSI) 驅動程式 儲存體 Class | 容器儲存體介面 (CSI) 是一種標準,可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。 自 AKS 1.21 版以來,樹狀結構內布建程式 儲存體 Class 應該已被取代。 若要深入瞭解, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
Kubernetes 資源應具有必要的批注 | 請確定指定的 Kubernetes 資源種類上附加必要的批注,以改善 Kubernetes 資源的資源管理。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.1.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。