你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Batch 的 Azure Policy 内置定义
此页是 Azure Batch 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 批处理
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Batch 帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Batch 池应启用磁盘加密 | 启用 Azure Batch 磁盘加密可确保始终在 Azure Batch 计算节点上对数据进行静态加密。 有关 Batch 中的磁盘加密的详细信息,请访问 https://docs.microsoft.com/azure/batch/disk-encryption。 | 审核、已禁用、拒绝 | 1.0.0 |
| Batch 帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Batch 帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/batch/auth。 | Audit、Deny、Disabled | 1.0.0 |
| 配置 Batch 帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Batch 帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/batch/auth。 | 修改,已禁用 | 1.0.0 |
| 将批处理帐户配置为禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | 修改,已禁用 | 1.0.0 |
| 为 Batch 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 应针对 Batch 帐户配置指标警报规则 | 审核是否已针对 Batch 帐户配置指标警报规则,以启用所需指标 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Batch 帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 若要详细了解 Batch 中的专用终结点,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应对批处理帐户禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。