Azure HDInsight 的 Azure Policy 内置定义
本页是适用于 Azure HDInsight 的 Azure Policy内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure HDInsight
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将 Azure HDInsight 群集注入到虚拟网络中 | 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight 群集应使用主机加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Azure HDInsight 群集配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl。 | DeployIfNotExists、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。