Azure 事件中心的 Azure Policy 内置定义

  • 项目

此页是 Azure 事件中心的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 事件中心

名称
(Azure 门户)		 说明 效果 版本
(GitHub)
应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
应针对事件中心实例定义授权规则 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 AuditIfNotExists、Disabled 1.0.0
Azure 事件中心命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 事件中心命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh Audit、Deny、Disabled 1.0.0
配置 Azure 事件中心命名空间以禁用本地身份验证 禁用本地身份验证方法,使 Azure 事件中心命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh 修改,已禁用 1.0.0
为事件中心命名空间配置专用终结点 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service DeployIfNotExists、Disabled 1.0.0
将事件中心的诊断设置部署到事件中心 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 DeployIfNotExists、Disabled 2.1.0
将事件中心的诊断设置部署到 Log Analytics 工作区 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 DeployIfNotExists、Disabled 2.0.0
事件中心命名空间应启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 1.0.0
事件中心命名空间应使用客户管理的密钥进行加密 Azure 事件中心支持通过 Azure 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 Audit、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
事件中心应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 AuditIfNotExists、Disabled 1.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0

后续步骤