Wbudowane definicje usługi Azure Policy dla usługi Azure IoT Hub
Przykładowy kod usługi IoT Hub pokazujący, jak zaimplementować typowe scenariusze IoT, zobacz przewodniki Szybki start usługi IoT Hub. Istnieją przewodniki Szybki start dla wielu języków programowania, takich jak C, Node.js i Python.
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure IoT Hub. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure IoT Hub
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Usługa Azure IoT Hub powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Szyfrowanie danych magazynowanych w usłudze IoT Hub przy użyciu klucza zarządzanego przez klienta dodaje drugą warstwę szyfrowania na podstawie domyślnych kluczy zarządzanych przez usługę, umożliwia kontrolę klienta nad kluczami, niestandardowe zasady rotacji i możliwość zarządzania dostępem do danych za pomocą kontroli dostępu klucza. Klucze zarządzane przez klienta należy skonfigurować podczas tworzenia usługi IoT Hub. Aby uzyskać więcej informacji na temat konfigurowania kluczy zarządzanych przez klienta, zobacz https://aka.ms/iotcmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: dane usługi IoT Hub device provisioning powinny być szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi aprowizacji urządzeń usługi IoT Hub. Dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/dps/CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
Usługa Azure IoT Hub powinna mieć wyłączone lokalne metody uwierzytelniania dla interfejsów API usługi | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure IoT Hub wymaga wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania interfejsu API usługi. Dowiedz się więcej na stronie: https://aka.ms/iothubdisablelocalauth. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Konfigurowanie usługi Azure IoT Hub w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby usługa Azure IoT Hub wymagała wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/iothubdisablelocalauth. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie wystąpień usługi IoT Hub device provisioning w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla wystąpienia aprowizacji urządzeń usługi IoT Hub, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie wystąpień usługi IoT Hub device provisioning z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
Wdrażanie — konfigurowanie usługi Azure IoT Hubs przy użyciu prywatnych punktów końcowych | Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której można uzyskać dostęp do zasobu platformy Azure. Te zasady wdrażają prywatny punkt końcowy centrum IoT, aby umożliwić usługom w sieci wirtualnej dotarcie do usługi IoT Hub bez konieczności wysyłania ruchu do publicznego punktu końcowego usługi IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla usługi IoT Hub (microsoft.devices/iothubs) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Event Hub | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Włączanie rejestrowania według grupy kategorii dla microsoft.devices/provisioningservices w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Wystąpienia usługi IoT Hub device provisioning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że wystąpienie usługi IoT Hub device provisioning nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie wystąpień aprowizacji urządzeń usługi IoT Hub. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
Modyfikowanie — konfigurowanie usługi Azure IoT Hubs w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure IoT Hub tylko z prywatnego punktu końcowego. Te zasady wyłączają dostęp do sieci publicznej w zasobach usługi IoT Hub. | Modyfikowanie, wyłączone | 1.0.0 |
Prywatny punkt końcowy powinien być włączony dla usługi IoT Hub | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą IoT Hub. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | Inspekcja, wyłączone | 1.0.0 |
Dostęp do sieci publicznej w usłudze Azure IoT Hub powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure IoT Hub tylko z prywatnego punktu końcowego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.