Szczegółowe informacje o wbudowanej inicjatywie dotyczącej zgodności z przepisami w chmurze firmy Microsoft for Sovereignty
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w usłudze Microsoft Cloud for Sovereignty Baseline Global Policies. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Microsoft Cloud for Sovereignty Baseline Global Policies (Zasady globalne punktów odniesienia dla chmury firmy Microsoft dla suwerenności). Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.
Poniższe mapowania dotyczą kontrolek globalnych zasad planu bazowego dla chmury firmy Microsoft dla suwerenności. Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz [wersja zapoznawcza]: Plan bazowy suwerenności — globalna zgodność z przepisami wbudowaną definicję inicjatywy.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
SO.1 — Miejsce przechowywania danych
Produkty platformy Azure muszą być wdrażane i konfigurowane do korzystania z zatwierdzonych regionów.
ID: Własność punktu odniesienia suwerenności MCfS SO.1: współużytkowany
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dozwolone lokalizacje | Ta zasada umożliwia ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. Nie obejmuje grup zasobów, elementu Microsoft.AzureActiveDirectory/b2cDirectories i zasobów używających regionu „globalny”. | odmowa | 1.0.0 |
Dozwolone lokalizacje dla grup zasobów | Te zasady umożliwiają ograniczenie lokalizacji, w których organizacja może tworzyć grupy zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | odmowa | 1.0.0 |
Dozwolone lokalizacje usługi Azure Cosmos DB | Te zasady umożliwiają ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów usługi Azure Cosmos DB. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | [parameters('policyEffect')] | 1.1.0 |
SO.5 — zaufane uruchamianie
Jeśli to możliwe, maszyny wirtualne powinny być skonfigurowane z włączonymi zaufanymi jednostkami SKU uruchamiania i zaufanym uruchamianiem.
ID: Własność punktu odniesienia suwerenności MCfS SO.5: Współdzielona
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch | TrustedLaunch zwiększa bezpieczeństwo maszyny wirtualnej, co wymaga obsługi obrazu systemu operacyjnego i dysku systemu operacyjnego (Gen 2). Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://aka.ms/trustedlaunch | Inspekcja, wyłączone | 1.0.0 |
Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch | Włącz pozycję TrustedLaunch na maszynie wirtualnej w celu zapewnienia zwiększonych zabezpieczeń, użyj jednostki SKU maszyny wirtualnej (Gen 2), która obsługuje usługę TrustedLaunch. Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Inspekcja, wyłączone | 1.0.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.