Definições internas do Azure Policy para o Data Factory
APLICA-SE A:
Azure Data Factory 
Azure Synapse Analytics
Dica
Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange desde movimentação de dados até ciência de dados, análise em tempo real, business intelligence e relatórios. Saiba como iniciar uma avaliação gratuita!
Esta página é um índice de definições de políticas internas do Azure Policy para o Data Factory. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Data Factory
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: pipelines do Azure Data Factory só devem se comunicar com domínios permitidos | Para evitar a exfiltração do token de dados &, defina os domínios com os quais Azure Data Factory deve ter permissão para se comunicar. Observação: durante a versão prévia pública, a conformidade dessa política não é relatada, & para que a política seja aplicada ao Data Factory, habilite a funcionalidade de regras de saída no estúdio do ADF. Para obter mais informações, visite https://aka.ms/data-exfiltration-policy. | Deny, Desabilitado | 1.0.0 – versão prévia |
| Os Azure Data Factories devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Audit, Deny, desabilitado | 1.0.1 |
| O runtime de integração do Azure Data Factory deve ter um limite para o número de núcleos | Para gerenciar seus recursos e custos, limite o número de núcleos de um runtime de integração. | Audit, Deny, desabilitado | 1.0.0 |
| O tipo de recurso do serviço vinculado do Azure Data Factory deve estar na lista de permitidos | Defina a lista de permitidos dos tipos de serviço vinculado do Azure Data Factory. A restrição dos tipos de recursos permitidos permite o controle sobre o limite de movimentação de dados. Por exemplo, restrinja um escopo para permitir somente o Armazenamento de Blobs com o Data Lake Storage Gen1 e Gen2 para análise ou um escopo para permitir somente o acesso de SQL e Kusto para consultas em tempo real. | Audit, Deny, desabilitado | 1.1.0 |
| Os serviços vinculados do Azure Data Factory devem usar o Key Vault para armazenamento de segredos | Para garantir que os segredos (por exemplo, cadeias de conexão) sejam gerenciados com segurança, exija que os usuários forneçam segredos usando um Azure Key Vault em vez de especificá-los embutidos em serviços vinculados. | Audit, Deny, desabilitado | 1.0.0 |
| Quando isto for compatível, os serviços vinculados do Azure Data Factory deverão usar a autenticação de identidade gerenciada atribuída pelo sistema | O uso da identidade gerenciada atribuída pelo sistema ao se comunicar com armazenamentos de dados por meio de serviços vinculados evita o uso de credenciais menos protegidas, como senhas ou cadeias de conexão. | Audit, Deny, desabilitado | 2.1.0 |
| O Azure Data Factory deve usar um repositório Git para controle do código-fonte | Configure somente seu data factory de desenvolvimento com a integração do Git. As alterações no teste e na produção devem ser implantadas por meio de CI/CD e NÃO devem ter integração com o Git. NÃO aplique essa política em seus data factories de QA/Teste/Produção. | Audit, Deny, desabilitado | 1.0.1 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar data factories para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública no data factory para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modificar, Desabilitado | 1.0.0 |
| Configurar pontos de extremidade privados para data factories | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, você poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Fábricas de Dados (V2) (microsoft.datafactory/factories) para o Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos para Fábricas de Dados (V2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Fábricas de Dados (V2) (microsoft.datafactory/factories) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de Fábricas de Dados (V2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Fábricas de Dados (V2) (microsoft.datafactory/factories) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Fábricas de Dados (V2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| O acesso à rede pública no Azure Data Factory deve ser desabilitado | A desabilitação da propriedade de acesso à rede pública aprimora a segurança garantindo que o Azure Data Factory só possa ser acessado de um ponto de extremidade privado. | Audit, Deny, desabilitado | 1.0.0 |
| Os runtimes de integração do SQL Server Integration Services no Azure Data Factory devem estar ingressados em uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança e isolamento aprimorados para seus runtimes de integração do SQL Server Integration Services no Azure Data Factory, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. | Audit, Deny, desabilitado | 2.3.0 |
Conteúdo relacionado
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.