Встроенные определения Политики Azure для Фабрики данных
ОБЛАСТЬ ПРИМЕНЕНИЯ: 
Фабрика данных Azure 
Azure Synapse Analytics
Совет
Попробуйте использовать фабрику данных в Microsoft Fabric, решение для аналитики с одним интерфейсом для предприятий. Microsoft Fabric охватывает все, от перемещения данных до обработки и анализа данных в режиме реального времени, бизнес-аналитики и отчетности. Узнайте, как бесплатно запустить новую пробную версию !
Эта страница содержит список встроенных определений политик в Политике Azure для Фабрики данных. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Фабрика данных
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: конвейеры Фабрика данных Azure должны взаимодействовать только с разрешенными доменами | Чтобы предотвратить кражу данных и маркеров, задайте домены, с которыми Фабрика данных Azure должны быть разрешены обмен данными. Примечание. Хотя в общедоступной предварительной версии, соответствие этой политике не сообщается, и для применения политики к фабрике данных включите функции правил исходящего трафика в студии ADF. Дополнительные сведения см. на странице https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0 (предварительная версия) |
| Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| В среде выполнения интеграции Фабрики данных Azure должно быть ограниченное число ядер | Для управления ресурсами и затратами ограничьте число ядер, используемых в среде выполнения интеграции. | Audit, Deny, Disabled | 1.0.0 |
| Тип ресурса связанной службы Фабрики данных Azure должен находиться в списке разрешений | Определите список разрешений для типов связанных служб Фабрики данных Azure. Ограничение разрешенных типов ресурсов позволяет управлять границами перемещения данных. Например, вы можете ограничить область, в которой будет разрешаться только Хранилище BLOB-объектов с Data Lake Storage 1-го и 2-го поколения для аналитики, или область, в которой будет разрешаться только доступ к SQL и Kusto для запросов в режиме реального времени. | Audit, Deny, Disabled | 1.1.0 |
| Связанные службы Фабрики данных Azure должны использовать для хранения секретов Key Vault | Для обеспечения безопасности управления секретами (например, строками подключения) необходимо, чтобы пользователи предоставляли секреты с помощью Azure Key Vault, а не указывали их в строках связанных служб. | Audit, Deny, Disabled | 1.0.0 |
| Связанные службы Фабрики данных Azure должны выполнять аутентификацию управляемого удостоверения, назначаемого системой, если такая возможность поддерживается | Использование управляемого удостоверения, назначаемого системой, при взаимодействии с хранилищами данных через связанные службы позволяет избежать использования менее защищенных учетных данных, таких как пароли или строки подключения. | Audit, Deny, Disabled | 2.1.0 |
| Фабрика данных Azure должна использовать для управления исходным кодом репозиторий Git | Настройте интеграцию Git только для своей фабрики данных для разработки. Изменения в тестовой и рабочей среде должны быть развернуты с помощью CI/CD и не должны иметь интеграцию Git. Не применяйте эту политику к фабрикам данных QA/ Test/ Production. | Audit, Deny, Disabled | 1.0.1 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройте фабрики данных для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для своей Фабрики данных, чтобы она не была доступна через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modify, Disabled | 1.0.0 |
| Настройка частных конечных точек для фабрик данных | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Путем сопоставления конечных точек с Фабрикой данных Azure можно добиться снижения риска утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для фабрик данных (версия 2) (microsoft.datafactory/factories) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для фабрик данных (версия 2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для фабрик данных (версия 2) (microsoft.datafactory/factories) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для фабрик данных (версия 2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для фабрик данных (версия 2) (microsoft.datafactory/factories) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для фабрик данных (версия 2) (microsoft.datafactory/factories). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Доступ к Фабрике данных Azure через общедоступную сеть должен быть отключен | Отключение доступа к Фабрике данных Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Фабрике данных Azure будет возможен только из частной конечной точки. | Audit, Deny, Disabled | 1.0.0 |
| Среды выполнения интеграции SQL Server Integration Services в Фабрике данных Azure должны быть присоединены к виртуальной сети | Развертывание виртуальной сети Azure обеспечивает более высокий уровень безопасности и изоляции для сред выполнения интеграции SQL Server Integration Services в Фабрике данных Azure, а также поддержку подсетей, политик управления доступом и других функций для его контроля. | Audit, Deny, Disabled | 2.3.0 |
Связанный контент
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.