Inbyggda Azure Policy-definitioner för Azure Automation
Den här sidan är ett index över inbyggda principdefinitioner för Azure Policy för Azure Automation. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Automation
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontot ska ha hanterad identitet | Använd Hanterade identiteter som den rekommenderade metoden för att autentisera med Azure-resurser från runbooks. Hanterad identitet för autentisering är säkrare och eliminerar hanteringskostnaderna som är associerade med att använda RunAs-kontot i din runbook-kod . | Granskning, inaktiverad | 1.0.0 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Automation-konton bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Automation-kontot bör ha en lokal autentiseringsmetod inaktiverad | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Automation-konton uteslutande kräver Azure Active Directory-identiteter för autentisering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Automation-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Azure Automation-kontot för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure Automation-konton uteslutande kräver Azure Active Directory-identiteter för autentisering. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Automation-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för Azure Automation-kontot så att det inte är tillgängligt via det offentliga Internet. Den här konfigurationen skyddar dem mot dataläckagerisker. Du kan begränsa exponeringen för dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera privata slutpunktsanslutningar på Azure Automation-konton | Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Azure Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Händelsehubb för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Automation-konton (microsoft.automation/automationaccounts) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Automation-konton (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Privata slutpunktsanslutningar på Automation-konton ska vara aktiverade | Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, inaktiverad | 1.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.