Azure Policy 可帮助你强制实施组织标准并大规模评估合规性。 Azure Policy 通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下钻取。 它还有助于通过对现有资源的批量修正和对新资源的自动修正,使资源符合性。
内置策略定义
Microsoft开发和测试内置策略,以确保它们符合常见标准和最佳做法。 无需额外配置即可快速部署它们,使其非常适合标准符合性要求。 内置策略通常涵盖广为认可的标准和合规性框架。
以下部分提供了 Azure Database for PostgreSQL 灵活服务器的 Azure Policy 内置策略定义的索引。 使用 “源 ”列中的链接查看 Azure Policy GitHub 存储库上的源。
| 名称(Azure 门户) | 说明 | 效果 | 版本(GitHub) |
|---|---|---|---|
| 应为 PostgreSQL 灵活服务器预配 Microsoft Entra 管理员 | 对 PostgreSQL 灵活服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用 PgAudit 审核 | 此策略有助于审核环境中未启用 pgaudit 的任何 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 灵活服务器。 此设置为每个 IP 启用临时连接限制,导致密码登录失败过多 | AuditIfNotExists、Disabled | 1.0.0 |
| 将 PostgreSQL 灵活服务器的诊断设置部署到 Log Analytics 工作区 | 部署 PostgreSQL 灵活服务器的诊断设置,以便在创建或更新缺少此诊断设置的任何 PostgreSQL 灵活服务器时流式传输到区域 Log Analytics 工作区 | DeployIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器记录断开连接 | 此策略可帮助审核环境中未启用log_disconnections的任何 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL 支持使用安全套接字层 (SSL) 将 Azure Database for PostgreSQL 灵活服务器连接到客户端应用程序。 在数据库灵活服务器和客户端应用程序之间强制实施 SSL 连接有助于通过加密服务器与应用程序之间的数据流来防范攻击。 此配置强制要求始终启用 SSL 以访问 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 Azure Database for PostgreSQL 灵活服务器启用异地冗余备份 | 通过 Azure Database for PostgreSQL 灵活服务器,可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在服务器托管的区域,而且还复制到配对区域,以提供区域故障的恢复选项。 仅在服务器创建期间才允许为备份配置异地冗余存储 | Audit、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录检查点” | 此策略可帮助审核环境中任何 PostgreSQL 灵活服务器,而无需启用log_checkpoints设置 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用“记录连接” | 此策略可帮助审核环境中任何 PostgreSQL 灵活服务器,而无需启用log_connections设置 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL FlexIble 服务器应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 PostgreSQL 灵活服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你对关键生命周期拥有完全控制和责任,包括轮换和管理 | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL 灵活服务器应运行 TLS 版本 1.2 或更高版本 | 此策略有助于审核环境中运行低于 1.2 的 TLS 版本的任何 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 PostgreSQL 灵活服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接以启用对来自已知网络的流量的访问,并阻止来自所有其他 IP 地址(包括 Azure 中)的访问 | AuditIfNotExists、Disabled | 1.0.0 |