适用于:
Azure 数据工厂 
Azure Synapse Analytics
此页是数据工厂的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.azure.cn/data-factory/enable-customer-managed-key。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 数据工厂集成运行时应设有核心数限制](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F85bb39b5-2f66-49f8-9306-77da3ac5130f) | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据工厂链接服务资源类型应该在允许列表中](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F6809a3d0-d354-42fb-b955-783d207c62a8) | 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 数据工厂链接服务应使用 Key Vault 来存储机密](https://portal.azure.cn/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F127ef6d7-242f-43b3-9eef-947faf1725d0) | 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
| 为数据工厂配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
| 应禁用对 Azure 数据工厂的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
| 应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 | Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 | Audit、Deny、Disabled | 2.3.0 |
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。