Azure 資源的命名考量
您不應該在 Azure 資源名稱包含敏感或受限制的資訊,因為為了方便支援和疑難排解,這類資訊的儲存或存取位置可能不符合合規性。 敏感資訊的範例包括受下列法規約束的資料:
- 出口管制法
- DoD 影響等級 5 隔離需求
- 需要額外保護或受 NOFORN 標記約束的受管制非機密資訊 (CUI)
- 和其他
客戶 VM、儲存體帳戶、資料庫、Azure 匯入/匯出、Azure Cache for Redis、ExpressRoute、Azure AI 搜尋服務、App Service、APIM 和其他適合保存、處理或傳輸客戶資料之 Azure 服務所儲存或處理的資料,可能包含敏感資料。 不過,這些 Azure 服務的中繼資料不允許包含機密或受限制的資料。 這類中繼資料包括建立和維護 Azure 服務時輸入的所有設定資料,包括:
- 訂用帳戶名稱、服務名稱、伺服器名稱、資料庫名稱、租用戶角色名稱、資源群組、部署名稱、資源名稱、資源標記、線路名稱等等。
- 用於運送 Azure 匯入/匯出媒體的所有貨運資訊,例如貨運公司名稱、追蹤號碼、描述、退貨資訊、磁碟機清單、套件清單、記憶體帳戶名稱、容器名稱等等。
- HTTP 標頭中的資料,會作為 API 的一部分在搜尋/查詢字串傳送至 REST API。
- 傳送至 Intune 的裝置/原則/應用程式和其他中繼資料。
Azure 資源名稱包含您或代表您提供的資訊,可用於識別或設定雲端服務資源,例如軟體、系統或容器。 不過,它不會在資源內包含客戶建立的內容或中繼資料 (例如資料庫資料行/資料表名稱)。 Azure 資源名稱包含您指派給 Azure Resource Manager 層級物件和部署於 Azure 之資源的名稱。 範例包括虛擬網路、虛擬硬碟、資料庫伺服器和資料庫、虛擬網路介面、網路安全性群組、金鑰保存庫等資源的名稱。
注意
上述範例只是您可以命名之資源類型的一部分。 這份清單並非完全詳盡,而且隨著雲端服務新增,資源類型未來可能改變。
命名慣例
Azure 資源的名稱是更大資源識別碼的一部分,如下所示:
/subscriptions/<subscriptionID>/resourceGroups/<ResourceGroupName>/providers/<ResourceProvider>/<ResourceType>/<ResourceName>
虛擬機器資源識別碼的範例如下:
/subscriptions/<subscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Compute/virtualMachines/<virtualMachineName>
命名考量
您應該避免對業務功能或任務功能敏感的名稱。 本指導適用於符合先前所提及條件的所有名稱,從較大的資源群組名稱到群組內結束資源的名稱。 您也應該避免表明法規需求的名稱,例如:
- 美國刑事司法資訊服務 (CJIS)
- 國家安全系統委員會指令第 1253 (CNSSI 1253)
- 國稅局 (IRS) 出版物 1075
- 出口管制條例 (EAR)
- 國際武器貿易條例 (ITAR)
- 其他適用法規
注意
檢閱資源命名和標記決策指南時,也請考慮資源標記命名方式。
您應了解並考量資源命名慣例,以協助確保作業安全性,因為 Microsoft 人員可能在下列案例範例使用完整的資源識別碼:
- Microsoft 支援人員為了確保在客戶訂用帳戶識別正確的資源,可能於支援事件期間使用資源的完整資源標識碼。
- Microsoft 產品工程人員可能在例行監視遙測資料期間,為了識別與基準或平均系統效能偏差的情況,使用完整的資源標識碼。
- 在內部探索到的事件期間,主動與客戶溝通受影響的資源。