此页是 Azure 事件中心的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 事件中心
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| 应针对事件中心实例定义授权规则 | 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件中心命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 事件中心命名空间专门要求 Azure Active Directory 标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Azure 事件中心命名空间以禁用本地身份验证 | 禁用本地身份验证方法,以便 Azure 事件中心命名空间专门要求 Azure Active Directory 标识进行身份验证。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh。 | Modify, Disabled | 1.0.0 |
| 为事件中心命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
| 将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists, Disabled | 2.1.0 |
| 将事件中心的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists, Disabled | 2.0.0 |
| 按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 事件中心命名空间应禁用公用网络访问 | Azure 事件中心应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/event-hubs/private-link-service | Audit、Deny、Disabled | 1.0.0 |
| 事件中心命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| 事件中心命名空间应使用客户管理的密钥进行加密 | Azure 事件中心支持使用 Azure 托管密钥(默认)或客户管理的密钥加密静态数据的选项。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | Audit, Disabled | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists, Disabled | 1.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists, Disabled | 5.0.0 |
Next steps
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 请查看理解政策效果。