Azure Cosmos DB 的 Azure Policy 内置定义

适用于: SQL API Cassandra API Gremlin API 表 API Azure Cosmos DB API for MongoDB

此页是 Azure Cosmos DB 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure Cosmos DB

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 1.0.1
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk 审核、拒绝、已禁用 1.0.2
Azure Cosmos DB 允许的位置 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 [parameters('policyEffect')] 1.0.0
应禁用基于 Azure Cosmos DB 密钥的元数据写权限 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 append 1.0.0
应限制 Azure Cosmos DB 吞吐量 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 审核、拒绝、已禁用 1.0.0
Cosmos DB 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 Audit、Disabled 1.0.0

后续步骤