Wbudowane definicje usługi Azure Policy dla usługi Azure Automation
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Automation. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure Automation
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konto usługi Automation powinno mieć tożsamość zarządzaną | Użyj tożsamości zarządzanych jako zalecanej metody uwierzytelniania za pomocą zasobów platformy Azure z elementów Runbook. Tożsamość zarządzana na potrzeby uwierzytelniania jest bezpieczniejsza i eliminuje obciążenie związane z zarządzaniem skojarzonym z użyciem konta Uruchom jako w kodzie elementu Runbook. | Inspekcja, wyłączone | 1.0.0 |
Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Konta usługi Automation powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz ograniczyć narażenie zasobów konta usługi Automation, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konto usługi Azure Automation powinno mieć wyłączoną lokalną metodę uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta usługi Azure Automation wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/automation-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konfigurowanie konta usługi Azure Automation w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby konta usługi Azure Automation wymagały wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie kont usługi Azure Automation w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla konta usługi Azure Automation, aby nie był dostępny za pośrednictwem publicznego Internetu. Ta konfiguracja pomaga chronić je przed ryzykiem wycieku danych. Zamiast tego możesz ograniczyć narażenie zasobów konta usługi Automation, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie połączeń prywatnych punktów końcowych na kontach usługi Azure Automation | Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Azure Automation bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Dowiedz się więcej o prywatnych punktach końcowych w usłudze Azure Automation pod adresem https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla kont usługi Automation (microsoft.automation/automationaccounts) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla kont usługi Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Należy włączyć połączenia prywatnego punktu końcowego na kontach usługi Automation | Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Automation bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Dowiedz się więcej o prywatnych punktach końcowych w usłudze Azure Automation pod adresem https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.