適用於 Azure RBAC 的 Azure 原則 法規合規性控制
Azure 原則 可以強制執行 Azure 資源的規則,讓您的基礎結構符合商務標準。 Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面列出 Azure 角色型存取控制 (Azure RBAC) 的合規性網域 和安全性 控制 。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
CIS Microsoft Azure Foundations Benchmark 2.0.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v2.0.0 的 Azure 原則法規合規性詳細資料。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 1 | 1.23 | 確定沒有自訂訂用帳戶管理員角色存在 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.3.018 | 防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-2 (7) | 角色型配置 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 | 最小特殊權限 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 (7) | 對於使用者權限的檢閱 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-2 (7) | 角色型配置 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 | 最小特殊權限 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
HIPAA HITRUST 9.2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - HIPAA HITRUST 9.2。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST 9.2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 11 存取控制 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 對資訊系統的授權存取 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 12 稽核記錄和監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 已記錄的操作程序 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
IRS 1075 2016 年 9 月
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 2016 年 9 月 IRS 1075。 如需此合規性標準的詳細資訊,請參閱 2016 年 9 月 IRS 1075。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 9.3.1.2 | 帳戶管理 (AC-2) | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
ISO 27001:2013
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - ISO 27001:2013。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 9.2.3 | 特殊存取權限管理 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 特殊權限存取 | PA-7 | 遵循剛好足夠的系統管理 (最低權限) 原則 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 記錄與威脅偵測 | LT-1 | 啟用威脅偵測功能 | 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 1.0.0 |
| 記錄與威脅偵測 | LT-2 | 啟用適用於身分識別與存取管理的威脅偵測 | 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 1.0.0 |
| 事件回應 | IR-3 | 偵測和分析 – 根據高品質警示建立事件 | 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 1.0.0 |
| 事件回應 | AIR-5 | 偵測和分析 – 設定事件的優先順位 | 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 1.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | 3.1.2 | 限制系統存取授權使用者允許執行的交易和函式類型。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | 3.1.5 | 採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-2 (7) | 角色型配置 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 | 最小特殊權限 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 (7) | 對於使用者權限的檢閱 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-2 (7) | 具有特殊權限的使用者帳戶 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 | 最小特殊權限 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | AC-6 (7) | 對於使用者權限的檢閱 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
NL BIO 雲端佈景主題
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 NL BIO 雲端佈景主題的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性 – 數位政府 (digitaleoverheid.nl) (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| U.07.3 資料區隔 - 管理功能 | U.07.3 | U.07.3 - 檢視或修改 CSC 資料和/或加密金鑰的權限會以受控制的方式授與,且使用上會有記錄。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| U.10.2 對 IT 服務和資料的存取權 - 使用者 | U.10.2 | 根據 CSP 的責任,會將存取權授與系統管理員。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| U.10.3 對 IT 服務和資料的存取權 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| U.10.5 對 IT 服務和資料的存取權 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
PCI DSS 3.2.1
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 PCI DSS 3.2.1。 如需此合規性標準的詳細資訊,請參閱 PCI DSS 3.2.1。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 需求 3 | 3.2 | PCI DSS 需求 3.2 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 需求 7 | 7.2.1 | PCI DSS 需求 7.2.1 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 需求 8 | 8.3.1 | PCI DSS 需求 8.3.1 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
PCI DSS v4.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的情形,請參閱 PCI DSS v4.0 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 PCI DSS v4.0 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 需求 03:保護儲存的帳戶資料 | 3.3.3 | 授權後不儲存敏感性驗證資料 (SAD) | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 需求 07:根據業務須知,限制對系統元件和持卡人資料的存取 | 7.3.1 | 透過存取控制系統管理對系統元件和資料的存取 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.4.1 | 實作多重要素驗證 (MFA) 以保護對 CDE 的存取 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 資訊和網路安全性 | 3.1.a | 資訊資產的識別和分類-3.1 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 資訊和網路安全性 | 3.1.f | 標記檢查程式-3.1 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 使用者存取控制/管理 | 使用者存取控制/管理-8.1 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 10.55 | 存取控制 - 10.55 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | 10.60 | 存取控制 - 10.60 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
| 存取控制 | 10.62 | 存取控制 - 10.62 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
系統和組織控制 (SOC) 2
若要檢閱所有 Azure 服務的可用 Azure 原則 內建如何對應至此合規性標準,請參閱 Azure 原則 System and Organization Controls (SOC) 2 的法規合規性詳細數據。 如需此合規性標準的詳細資訊,請參閱 系統與組織控件 (SOC) 2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 邏輯和實體 存取控制 | CC6.3 | 以 Rol 為基礎的存取和最低許可權 | 稽核自訂 RBAC 角色的使用方式 | 1.0.1 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。