你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Cloud for Sovereignty 基线全局政策法规合规性内置计划的详细信息
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 Microsoft Cloud for Sovereignty 基线全局政策的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 基线全局政策。 如需了解所有权,请查看策略类型和云中责任分担。
以下是到 Microsoft Cloud for Sovereignty 基线全局政策控制措施的映射。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到“[预览]: Sovereignty 基线 - 全局政策”法规合规性内置计划定义并将其选中。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
SO.1 - 数据驻留
Azure 产品必须部署并配置为使用已批准的区域。
ID:MCfS Sovereignty 基线政策 SO.1 所有权:共享
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 | deny | 1.0.0 |
允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | deny | 1.0.0 |
Azure Cosmos DB 允许的位置 | 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 | [parameters('policyEffect')] | 1.1.0 |
SO.5 - 受信任启动
VM 应尽可能配置受信任启动 SKU 并启用受信任启动。
ID:MCfS Sovereignty 基线政策 SO.5 所有权:共享
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
磁盘和 OS 映像应支持 TrustedLaunch | TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://aka.ms/trustedlaunch | Audit、Disabled | 1.0.0 |
虚拟机应已启用 TrustedLaunch | 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。