Data Factory에 대한 Azure Policy 기본 제공 정의
적용 대상: 
Azure Data Factory 
Azure Synapse Analytics
팁
기업용 올인원 분석 솔루션인 Microsoft Fabric의 Data Factory를 사용해 보세요. Microsoft Fabric은 데이터 이동부터 데이터 과학, 실시간 분석, 비즈니스 인텔리전스 및 보고에 이르기까지 모든 것을 다룹니다. 무료로 새 평가판을 시작하는 방법을 알아봅니다!
이 페이지는 Data Factory에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Data Factory
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Data Factory 파이프라인은 허용된 도메인과만 통신해야 함 | 데이터 및 토큰 반출을 방지하려면 Azure Data Factory와 통신할 수 있는 도메인을 설정합니다. 참고: 공개 미리 보기에서는 이 정책에 대한 규정 준수가 보고되지 않습니다. 정책을 Data Factory에 적용하려면 ADF 스튜디오에서 아웃바운드 규칙 기능을 사용하도록 설정하세요. 자세한 내용은 https://aka.ms/data-exfiltration-policy을 참조하세요. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Data Factory는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Data Factory의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/adf-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Data Factory 통합 런타임에는 코어 수 제한이 있어야 함 | 리소스 및 비용을 관리하려면 통합 런타임에 대한 코어 수를 제한합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory 연결된 서비스 리소스 종류가 허용 목록에 있어야 함 | Azure Data Factory 연결된 서비스 유형의 허용 목록을 정의합니다. 허용되는 리소스 종류를 제한하면 데이터 이동의 경계를 제어할 수 있습니다. 예를 들어 분석을 위해 Data Lake Storage Gen1 및 Gen2를 사용하는 Blob Storage만 허용하거나, 실시간 쿼리를 위해 SQL 및 Kusto 액세스만 허용하도록 범위를 제한합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Data Factory 연결된 서비스는 비밀 저장에 Key Vault를 사용해야 함 | 비밀(예: 연결 문자열)을 안전하게 관리하려면 사용자가 연결된 서비스에서 인라인으로 지정하는 대신 Azure Key Vault를 사용하여 비밀을 제공해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory 연결된 서비스는 지원되는 경우 시스템 할당 관리 ID 인증을 사용해야 함 | 연결된 서비스를 통해 데이터 저장소와 통신할 때 시스템 할당 관리 ID를 사용하면 암호나 연결 문자열과 같은 덜 안전한 자격 증명을 사용하지 않아도 됩니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Azure Data Factory는 소스 제어에 Git 리포지토리를 사용해야 함 | Git 통합으로 개발 Data Factory를 구성합니다. 테스트 및 프로덕션에 대한 변경 내용은 CI/CD를 통해 배포되어야 하며 Git 통합이 있어서는 안 됩니다. QA/테스트/프로덕션 데이터 팩터리에 이 정책을 적용하지 마세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Data Factory 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Data Factory에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| Data Factory에 대한 프라이빗 엔드포인트 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Data Factory에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Data Factory에 액세스할 수 있어 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory의 SQL Server Integration Services 통합 런타임을 가상 네트워크에 조인해야 함 | Azure Virtual Network를 배포하면 서브넷, 액세스 제어 정책, 추가로 액세스를 제어하는 기타 기능이 제공될 뿐만 아니라 Azure Data Factory에서 SQL Server Integration Services 통합 런타임에 대한 보안과 격리가 향상됩니다. | 감사, 거부, 사용 안 함 | 2.3.0 |
관련 콘텐츠
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.