Azure RBAC 的 Azure Policy 法规遵从性控制措施
Azure Policy 可对 Azure 资源强制实施规则,以使基础结构符合业务标准。
为与不同符合性标准相关的“符合域”和“安全控件”提供 Microsoft 创建和管理的计划定义,称为“内置”。 此页列出 Azure 基于角色的访问控制 (Azure RBAC) 的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
Azure 安全基准
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
Policy 版本 (GitHub) |
|---|---|---|---|---|
| 数据保护 | 4.6 | 使用 Azure RBAC 控制对资源的访问 | 审核自定义 RBAC 规则的使用情况 | 1.0.0 |
CIS Azure 基础基准检验
有关此符合性标准的详细信息,请参阅 CIS Azure 基础基准检验。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
Policy 版本 (GitHub) |
|---|---|---|---|---|
| 标识和访问管理 | 1.23 | 确保未创建任何自定义订阅所有者角色 | 不应存在自定义订阅所有者角色 | 2.0.0 |
NIST SP 800-53 R4
有关此符合性标准的详细信息,请参阅 NIST SP 800-53 R4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
Policy 版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 (7) | 帐户管理 | 基于角色的方案 | 审核自定义 RBAC 规则的使用情况 | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。