Definições internas da Política do Azure para o Mensagens do Barramento de Serviço do Azure
Esta página é um índice das definições de política internas da Política do Azure para o Azure Service Bus Messaging. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Mensagens do Barramento de Serviço do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O Barramento de Serviço deve ser redundante de zona | O Service Bus pode ser configurado para ser redundante de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Service Bus, isso significa que ela não está configurada para Redundância de Zona. Esta política identifica e impõe a configuração de Redundância de Zona para instâncias do Service Bus. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| Todas as regras de autorização, exceto RootManageSharedAccessKey, devem ser removidas do namespace do Service Bus | Os clientes do Service Bus não devem usar uma política de acesso em nível de namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar com o modelo de segurança de privilégios mínimos, você deve criar políticas de acesso no nível da entidade para filas e tópicos para fornecer acesso apenas à entidade específica | Auditoria, Negar, Desativado | 1.0.1 |
| Os namespaces do Barramento de Serviço do Azure devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os namespaces do Barramento de Serviço do Azure exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Auditoria, Negar, Desativado | 1.0.1 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar namespaces do Barramento de Serviço do Azure para desabilitar a autenticação local | Desabilite os métodos de autenticação local para que seus namespaces do Azure ServiceBus exijam exclusivamente identidades de ID do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. | Modificar, Desativado | 1.0.1 |
| Configurar namespaces do Service Bus com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para namespaces do Service Bus, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Service Bus no Hub de Eventos | Implanta as configurações de diagnóstico do Service Bus para transmitir para um Hub de Eventos regional quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Service Bus no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Service Bus para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.2.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Namespaces do Service Bus (microsoft.servicebus/namespaces) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces do Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os namespaces do Service Bus devem desabilitar o acesso à rede pública | O Barramento de Serviço do Azure deve ter o acesso à rede pública desabilitado. A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Auditoria, Negar, Desativado | 1.1.0 |
| Os namespaces do Service Bus devem ter criptografia dupla habilitada | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 1.0.0 |
| Os namespaces Premium do Service Bus devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Service Bus usará para criptografar dados em seu namespace. Observe que o Service Bus só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Auditoria, Desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.