APPLIES TO:
Azure Data Factory 
Azure Synapse Analytics
此页面是数据工厂的 Azure Policy 内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
数据工厂
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure Data Factory管道应仅与允许的域通信 | 防止数据和令牌外泄,设置Azure Data Factory应允许与之通信的域。 注意:在公共预览期间,此策略的合规性不会报告,并且要将策略应用于数据工厂,请在 Azure Data Factory 工作室中启用出站规则功能。 有关详细信息,请访问 https://docs.azure.cn/data-factory/policy-reference。 | 拒绝、已禁用 | 1.0.0-preview |
| Azure数据工厂应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure Data Factory的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure Key Vault密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/data-factory/enable-customer-managed-key。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory集成运行时应限制核心数](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F85bb39b5-2f66-49f8-9306-77da3ac5130f) | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory链接服务资源类型应位于允许列表中](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F6809a3d0-d354-42fb-b955-783d207c62a8) | 定义Azure Data Factory链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为仅允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或者限制为仅允许 SQL 和 Kusto 访问实时查询的范围。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Factory链接服务应使用Key Vault来存储机密](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F127ef6d7-242f-43b3-9eef-947faf1725d0) | 若要确保安全地管理机密(如连接字符串),要求用户使用Azure Key Vault提供机密,而不是在链接服务中内联指定机密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory链接服务在受支持时应使用系统分配的托管标识身份验证 | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory应使用专用链接 | Azure Private Link允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 Private Link平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Data Factory,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
| 为数据工厂配置专用终结点 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Data Factory,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
| 应禁用Azure Data Factory上的 公共网络访问 | 禁用公共网络访问属性可确保只能通过专用终结点访问Azure Data Factory来提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| SQL Server Integration Services应将Azure Data Factory上的集成运行时加入虚拟网络 | Azure Virtual Network部署为Azure Data Factory上的SQL Server Integration Services集成运行时以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 | Audit、Deny、Disabled | 2.3.0 |
相关内容
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。