Wbudowane definicje usługi Azure Policy dla komunikatów usługi Azure Service Bus
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla komunikatów usługi Azure Service Bus. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Obsługa komunikatów usługi Azure Service Bus
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: usługa Service Bus powinna być strefowo nadmiarowa | Usługę Service Bus można skonfigurować jako strefowo nadmiarową lub nie. Gdy właściwość "zoneRedundant" jest ustawiona na wartość "false" dla usługi Service Bus, oznacza to, że nie jest skonfigurowana dla nadmiarowości strefy. Te zasady identyfikują i wymuszają konfigurację nadmiarowości strefy dla wystąpień usługi Service Bus. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Wszystkie reguły autoryzacji z wyjątkiem RootManageSharedAccessKey powinny zostać usunięte z przestrzeni nazw usługi Service Bus | Klienci usługi Service Bus nie powinni używać zasad dostępu na poziomie przestrzeni nazw, które zapewniają dostęp do wszystkich kolejek i tematów w przestrzeni nazw. Aby dopasować go do modelu zabezpieczeń najniższych uprawnień, należy utworzyć zasady dostępu na poziomie jednostki dla kolejek i tematów, aby zapewnić dostęp tylko do określonej jednostki | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Przestrzenie nazw usługi Azure Service Bus powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że przestrzenie nazw usługi Azure Service Bus wymagają wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-sb. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw usługi Azure Service Bus w celu wyłączenia uwierzytelniania lokalnego | Wyłącz lokalne metody uwierzytelniania, aby przestrzenie nazw usługi Azure ServiceBus wymagały wyłącznie tożsamości identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/disablelocalauth-sb. | Modyfikowanie, wyłączone | 1.0.1 |
| Konfigurowanie przestrzeni nazw usługi Service Bus z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie ustawień diagnostycznych usługi Service Bus w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w dowolnej usłudze Service Bus brakuje tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie ustawień diagnostycznych usługi Service Bus w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze Service Bus, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/przestrzeni nazw) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla przestrzeni nazw usługi Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Przestrzenie nazw usługi Service Bus powinny wyłączyć dostęp do sieci publicznej | Usługa Azure Service Bus powinna mieć wyłączony dostęp do sieci publicznej. Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Przestrzenie nazw usługi Service Bus powinny mieć włączone podwójne szyfrowanie | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. | Inspekcja, wyłączone | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.