你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Cache for Redis 的 Azure Policy 内置定义
本文为 Azure Cache for Redis 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
用于 Redis 的 Azure 缓存
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]: Azure Cache for Redis Enterprise & Flash 应为区域冗余 | Azure Cache for Redis Enterprise & Flash 可以配置为区域冗余或非区域冗余。 区域数组中少于 3 个条目的 Azure Cache for Redis Enterprise & Flash 实例不是区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 Azure Cache for Redis Enterprise & Flash 实例。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]: Azure Cache for Redis 应为区域冗余 | Azure Cache for Redis 可以配置为区域冗余或非区域冗余。 区域数组中条目少于 2 个的 Azure Cache for Redis 实例不是区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 Azure Cache for Redis 实例。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure Cache for Redis Enterprise 应使用客户管理的密钥来加密磁盘数据 | 使用客户管理的密钥 (CMK) 来管理磁盘上数据的静态加密。 默认情况下,客户数据是使用平台管理的密钥 (PMK) 进行加密的,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/RedisCMK。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis Enterprise 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis Enterprise 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cache for Redis 应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis 不应使用访问密钥进行身份验证 | 不使用访问密钥等本地身份验证方法而是使用 Microsoft Entra ID(建议)等更安全的替代方法可以提高 Azure Cache for Redis 的安全性。 在 aka.ms/redis/disableAccessKeyAuthentication 中了解详细信息 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Azure Cache for Redis Enterprise 配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis Enterprise 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Cache for Redis 配置为禁用非 SSL 端口 | 启用与 Azure Cache for Redis 的仅 SSL 连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 将 Azure Cache for Redis 配置为禁用公用网络访问 | 禁用对 Azure Cache for Redis 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这有助于降低缓存的数据泄露风险。 | 修改,已禁用 | 1.0.0 |
| 为 Azure Cache for Redis 配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。