Azure 自动化的 Azure Policy 内置定义
此页是 Azure 自动化的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
自动化帐户应具有托管标识 | 将托管标识用作通过 Runbook 向 Azure 资源进行身份验证的推荐方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 | Audit、Disabled | 1.0.0 |
自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
自动化帐户应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.azure.cn/automation/how-to/private-link-security。 | Audit、Deny、Disabled | 1.0.0 |
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/automation/automation-secure-asset-encryption。 | Audit、Deny、Disabled | 1.0.0 |
将 Azure 自动化帐户配置为禁用公用网络访问 | 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 | 修改,已禁用 | 1.0.0 |
在 Azure 自动化帐户上配置专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.azure.cn/automation/how-to/private-link-security。 | DeployIfNotExists、Disabled | 1.0.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
应启用自动化帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.azure.cn/automation/how-to/private-link-security | AuditIfNotExists、Disabled | 1.0.0 |
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。