Azure 服务总线消息传送的 Azure Policy 内置定义

本页是 Azure 服务总线消息传送的 Azure Policy 内置策略定义的索引。 有关其他服务的附加 Azure Policy 内置,请参阅 Azure Policy 内置定义

每个内置策略定义的名称链接到 Azure 门户中的策略定义。 使用 版本 列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 服务总线消息传送

名字
(Azure 门户)
描述 效果(秒) 版本
(GitHub)
[预览]:服务总线应为区域冗余 可将服务总线配置为区域冗余或不配置。 如果服务总线的“zoneRedundant”属性设置为“false”,则表示它未针对区域冗余进行配置。 此策略标识并强制实施服务总线实例的区域冗余配置。 审核、拒绝、禁用 1.0.0-preview
除 RootManageSharedAccessKey 之外的所有授权规则都应从服务总线命名空间中删除 服务总线客户端不应使用命名空间级别访问策略,该策略提供对命名空间中的所有队列和主题的访问权限。 若要与最小特权安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 审核、拒绝、禁用 1.0.1
Azure 服务总线命名空间应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 服务总线命名空间专门要求Microsoft Entra ID 标识进行身份验证,从而提高安全性。 有关详细信息,https://aka.ms/disablelocalauth-sb 审核、拒绝、禁用 1.0.1
Azure 服务总线命名空间应使用专用链接 使用 Azure 专用链接可将虚拟网络连接到 Azure 服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过 Microsoft Azure 主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,https://docs.azure.cn/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
配置 Azure 服务总线命名空间以禁用本地身份验证 禁用本地身份验证方法,以便 Azure ServiceBus 命名空间专门要求Microsoft Entra ID 标识进行身份验证。 有关详细信息,https://aka.ms/disablelocalauth-sb 修改、禁用 1.0.1
使用专用终结点配置服务总线命名空间 专用终结点将虚拟网络连接到 Azure 服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,https://docs.azure.cn/service-bus-messaging/private-link-service DeployIfNotExists,已禁用 1.0.0
将服务总线的诊断设置部署到事件中心 创建或更新缺少此诊断设置的任何服务总线时,将服务总线的诊断设置部署到区域事件中心。 DeployIfNotExists,已禁用 2.0.0
将服务总线的诊断设置部署到 Log Analytics 工作区 创建或更新缺少此诊断设置的任何服务总线时,将服务总线的诊断设置部署到区域 Log Analytics 工作区。 DeployIfNotExists,已禁用 2.1.0
启用服务总线中的 资源日志 审核资源日志的启用。 这使你可以重新创建活动线索以用于调查目的;发生安全事件或网络遭到入侵时 AuditIfNotExists、Disabled 5.0.0
服务总线命名空间应禁用公用网络访问 Azure 服务总线应禁用公用网络访问。 禁用公共网络访问可确保资源不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制资源的公开。 有关详细信息,请查看:https://docs.azure.cn/service-bus-messaging/private-link-service 审核、拒绝、禁用 1.1.0
服务总线命名空间应启用双重加密 启用双重加密有助于保护和保护数据,以满足组织安全性和合规性承诺。 启用双重加密后,存储帐户中的数据会加密两次,一次在服务级别,一次在基础结构级别使用两种不同的加密算法和两个不同的密钥。 审核、拒绝、禁用 1.0.0
服务总线高级命名空间应使用客户管理的密钥进行加密 Azure 服务总线支持使用 Azure 托管密钥(默认)或客户管理的密钥加密静态数据的选项。 选择使用客户管理的密钥加密数据,可以分配、轮换、禁用和撤销对服务总线用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用高级命名空间的客户管理的密钥进行加密。 审核,已禁用 1.0.0

后续步骤