Azure 服务总线消息传递的 Azure Policy 内置定义
此页是 Azure 服务总线消息传递的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 服务总线消息传递
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]: 服务总线应该是区域冗余的 | 服务总线可配置为区域冗余或非区域冗余。 当服务总线的“zoneRedundant”属性设置为“false”时,表示未配置该属性来实现区域冗余。 此策略标识并强制执行服务总线实例的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| 应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
| Azure 服务总线命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Microsoft Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 服务总线命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb。 | 修改,已禁用 | 1.0.1 |
| 为服务总线命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将服务总线的诊断设置部署到事件中心 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将服务总线的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.1.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 服务总线命名空间应禁用公用网络访问 | Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.azure.cn/service-bus-messaging/private-link-service | Audit、Deny、Disabled | 1.1.0 |
| 服务总线命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
| 服务总线高级命名空间应使用客户管理的密钥进行加密 | Azure 服务总线支持使用 Azure 管理的密钥(默认值)或客户管理的密钥进行静态数据加密的选项。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 | Audit、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。