你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 备份的 Azure Policy 内置定义
此页是 Azure 备份的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 备份
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Microsoft Azure 恢复服务保管库应禁用公用网络访问 | 禁用公用网络访问可确保恢复服务保管库不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制恢复服务保管库的公开。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | Audit、Disabled | 2.0.0-preview |
[预览]:备份和 Site Recovery 应为区域冗余 | 备份和 Site Recovery 可以配置为区域冗余或非区域冗余。 如果“standardTierStorageRedundancy”属性设置为“ZoneRedundant”,则备份和 Site Recovery 是区域冗余。 强制实施此策略有助于确保适当配置备份和 Site Recovery 来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:配置 Azure 恢复服务保管库以禁用公用网络访问 | 禁用对恢复服务保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny。 | 修改,已禁用 | 1.0.0-preview |
[预览版]:在 Azure 恢复服务保管库上配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]:配置恢复服务保管库以使用专用终结点进行备份 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:禁用 Azure 恢复服务保管库的跨订阅还原 | 禁用或永久禁用恢复服务保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrenhancements。 | 修改,已禁用 | 1.1.0-preview |
[预览版]:不允许创建所选存储冗余的恢复服务保管库。 | 目前可以使用三种存储冗余选项(即本地冗余存储、区域冗余存储和异地冗余存储)中的任何一种来创建恢复服务保管库。 如果组织中的策略要求你阻止创建属于特定冗余类型的保管库,则可以使用此 Azure 策略实现相同的目的。 | 拒绝、已禁用 | 1.0.0-preview |
[预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
[预览版]:必须为恢复服务保管库启用多用户授权 (MUA)。 | 此策略审核是否为恢复服务保管库启用了多用户授权 (MUA)。 MUA 通过为关键操作添加额外的保护层来帮助保护恢复服务保管库。 有关详细信息,请访问https://aka.ms/MUAforRSV。 | Audit、Disabled | 1.0.0-preview |
[预览版]:恢复服务保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 在以下位置详细了解 Azure Site Recovery 的专用链接:https://aka.ms/HybridScenarios-PrivateLink 和 https://aka.ms/AzureToAzure-PrivateLink。 | Audit、Disabled | 1.0.0-preview |
[预览版]:必须为恢复服务保管库启用软删除。 | 此策略审核是否为范围内的恢复服务保管库启用了软删除。 软删除可以帮助你恢复数据,即使数据已被删除。 更多信息请访问 https://aka.ms/AB-SoftDelete。 | Audit、Disabled | 1.0.0-preview |
应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 | 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 | deployIfNotExists | 1.0.2 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。