Definições internas do Azure Policy para a Automação do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para a Automação do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Automação do Azure
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A conta de Automação deve ter uma identidade gerenciada | Use identidades gerenciadas como o método recomendado para a autenticação em recursos do Azure por meio dos runbooks. A identidade gerenciada para autenticação é mais segura e elimina a sobrecarga de gerenciamento associada ao uso da conta RunAs no código do runbook. | Audit, desabilitado | 1.0.0 |
As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
O acesso à rede pública deve ser desabilitado nas contas de Automação | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos recursos da conta de Automação criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, desabilitado | 1.0.0 |
A conta de Automação do Azure deve ter o método de autenticação local desabilitado | Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que as contas da Automação do Azure exijam exclusivamente identidades do Azure Active Directory para autenticação. | Audit, Deny, desabilitado | 1.0.0 |
As contas da Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso das suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Audit, Deny, desabilitado | 1.0.0 |
Configure a conta de Automação do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que suas contas de Automação do Azure exijam exclusivamente identidades do Azure Active Directory para autenticação. | Modificar, Desabilitado | 1.0.0 |
Configurar as contas de Automação do Azure para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para a conta de Automação do Azure para que ele não possa ser acessado pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos recursos da conta de Automação criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. | Modificar, Desabilitado | 1.0.0 |
Configurar conexões de ponto de extremidade privado nas contas da Automação do Azure | As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas da Automação do Azure sem a necessidade de endereços IP públicos na origem nem no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nas Contas de Automação (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Contas de Automação (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Contas de Automação (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
As conexões de ponto de extremidade privado nas Contas de Automação devem ser habilitadas | As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas da Automação sem a necessidade de endereços IP públicos na origem nem no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.