Integrované definice služby Azure Policy pro zasílání zpráv služby Azure Service Bus
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro zasílání zpráv služby Azure Service Bus. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Zasílání zpráv služby Azure Service Bus
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Service Bus by měl být zónově redundantní | Službu Service Bus je možné nakonfigurovat tak, aby byla zónově redundantní nebo ne. Pokud je vlastnost zoneRedundant nastavená na false pro Service Bus, znamená to, že není nakonfigurovaná pro zónovou redundanci. Tato zásada identifikuje a vynucuje konfiguraci redundance zón pro instance služby Service Bus. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Všechna autorizační pravidla kromě RootManageSharedAccessKey by se měla odebrat z oboru názvů služby Service Bus. | Klienti služby Service Bus by neměli používat zásady přístupu na úrovni oboru názvů, které poskytují přístup ke všem frontám a tématům v oboru názvů. Pokud chcete zajistit soulad s modelem zabezpečení s nejnižšími oprávněními, měli byste vytvořit zásady přístupu na úrovni entit pro fronty a témata, abyste měli přístup pouze ke konkrétní entitě. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Obory názvů služby Azure Service Bus by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby obory názvů služby Azure Service Bus pro ověřování vyžadovaly výhradně identity ID Microsoft Entra. Další informace najdete tady: https://aka.ms/disablelocalauth-sb. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace oborů názvů služby Azure Service Bus pro zakázání místního ověřování | Zakažte místní metody ověřování, aby vaše obory názvů Azure ServiceBus vyžadovaly výhradně identity ID Microsoft Entra pro ověřování. Další informace najdete tady: https://aka.ms/disablelocalauth-sb. | Upravit, zakázáno | 1.0.1 |
| Konfigurace oborů názvů služby Service Bus s privátními koncovými body | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na obory názvů služby Service Bus můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení nastavení diagnostiky pro Service Bus do centra událostí | Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. | DeployIfNotExists, zakázáno | 2.0.0 |
| Nasazení nastavení diagnostiky pro Service Bus do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. | DeployIfNotExists, zakázáno | 2.2.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Povolení protokolování podle skupiny kategorií pro obory názvů služby Service Bus (microsoft.servicebus/namespaces) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro obory názvů služby Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Obory názvů služby Service Bus by měly zakázat přístup k veřejné síti | Služba Azure Service Bus by měla mít zakázaný přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Odepřít, Zakázáno | 1.1.0 |
| Obory názvů služby Service Bus by měly mít povolené dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. | Audit, zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.