你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure RBAC 的 Azure Policy 法规遵从性控制措施

Azure Policy 可对 Azure 资源强制实施规则,以使基础结构符合业务标准。 Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 基于角色的访问控制 (Azure RBAC) 的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

CIS Microsoft Azure 基础基准检验 2.0.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
1 1.23 确保不存在自定义订阅管理员角色 审核自定义 RBAC 角色的使用情况 1.0.1

CMMC 级别 3

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 审核自定义 RBAC 角色的使用情况 1.0.1

FedRAMP 高

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-2 (7) 基于角色的方案 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 最小特权 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 (7) 用户特权评审 审核自定义 RBAC 角色的使用情况 1.0.1

FedRAMP 中等

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-2 (7) 基于角色的方案 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 最小特权 审核自定义 RBAC 角色的使用情况 1.0.1

HIPAA HITRUST 9.2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
11 访问控制 1148.01c2System.78-01.c 1148.01c2System.78-01.c 01.02 对信息系统的授权访问 审核自定义 RBAC 角色的使用情况 1.0.1
12 审核日志记录和监视 1230.09c2Organizational.1-09.c 1230.09c2Organizational.1-09.c 09.01 记录的操作程序 审核自定义 RBAC 角色的使用情况 1.0.1

IRS 1075 2016 年 9 月

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 9.3.1.2 帐户管理 (AC-2) 审核自定义 RBAC 角色的使用情况 1.0.1

ISO 27001:2013

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 9.2.3 管理特权访问权限 审核自定义 RBAC 角色的使用情况 1.0.1

Microsoft 云安全基准

Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
特权访问 PA-7 遵循 Just Enough Administration(最小特权)原则 审核自定义 RBAC 角色的使用情况 1.0.1
日志记录和威胁检测 LT-1 启用威胁检测功能 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 1.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 1.0.0
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 1.0.0
事件响应 AIR-5 检测和分析 - 设置事件优先级 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 1.0.0

NIST SP 800-171 R2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 3.1.1 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 3.1.2 仅限授权用户有权执行的事务和函数类型进行系统访问。 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 3.1.5 对特定安全功能和特权帐户等内容采用最小特权原则。 审核自定义 RBAC 角色的使用情况 1.0.1

NIST SP 800-53 修订版 4

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-2 (7) 基于角色的方案 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 最小特权 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 (7) 用户特权评审 审核自定义 RBAC 角色的使用情况 1.0.1

NIST SP 800-53 Rev. 5

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-2 (7) 特权用户帐户 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 最小特权 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 AC-6 (7) 用户特权评审 审核自定义 RBAC 角色的使用情况 1.0.1

NL BIO 云主题

若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
U.07.3 数据分离 - 管理功能 U.07.3 U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用情况。 审核自定义 RBAC 角色的使用情况 1.0.1
U.10.2 访问 IT 服务和数据 - 用户 U.10.2 根据 CSP 的责任,向管理员授予访问权限。 审核自定义 RBAC 角色的使用情况 1.0.1
U.10.3 访问 IT 服务和数据 - 用户 U.10.3 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 审核自定义 RBAC 角色的使用情况 1.0.1
U.10.5 访问 IT 服务和数据 - 胜任 U.10.5 对 IT 服务和数据的访问受技术措施的限制,并已实施。 审核自定义 RBAC 角色的使用情况 1.0.1

PCI DSS 3.2.1

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
要求 3 3.2 PCI DSS 要求 3.2 审核自定义 RBAC 角色的使用情况 1.0.1
要求 7 7.2.1 PCI DSS 要求 7.2.1 审核自定义 RBAC 角色的使用情况 1.0.1
要求 8 8.3.1 PCI DSS 要求 8.3.1 审核自定义 RBAC 角色的使用情况 1.0.1

PCI DSS v4.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
要求 03:保护存储的帐户数据 3.3.3 授权后不存储敏感的身份验证数据 (SAD) 审核自定义 RBAC 角色的使用情况 1.0.1
要求 07:按业务须知限制访问系统组件和持卡人数据 7.3.1 通过访问控制系统管理对系统组件和数据的访问 审核自定义 RBAC 角色的使用情况 1.0.1
要求 08:标识用户并对系统组件的访问进行身份验证 8.4.1 实现多重身份验证 (MFA) 以保护对 CDE 的访问 审核自定义 RBAC 角色的使用情况 1.0.1

印度储备银行 - 面向 NBFC 的 IT 框架

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
信息和网络安全 3.1.a 信息资产的标识和分类 3.1 审核自定义 RBAC 角色的使用情况 1.0.1
信息和网络安全 3.1.f Maker-checker-3.1 审核自定义 RBAC 角色的使用情况 1.0.1

印度储备银行面向银行的 IT 框架 v2016

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
用户访问控制/管理 用户访问控制/管理-8.1 审核自定义 RBAC 角色的使用情况 1.0.1

马来西亚 RMIT

若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 10.55 访问控制 - 10.55 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 10.60 访问控制 - 10.60 审核自定义 RBAC 角色的使用情况 1.0.1
访问控制 10.62 访问控制 - 10.62 审核自定义 RBAC 角色的使用情况 1.0.1

西班牙 ENS

要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于西班牙 ENS 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 CCN-STIC 884

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
保护措施 mp.s.2 服务保护 审核自定义 RBAC 角色的使用情况 1.0.1
操作框架 op.acc.1 访问控制 审核自定义 RBAC 角色的使用情况 1.0.1
操作框架 op.acc.3 访问控制 审核自定义 RBAC 角色的使用情况 1.0.1
操作框架 op.acc.4 访问控制 审核自定义 RBAC 角色的使用情况 1.0.1
操作框架 op.acc.5 访问控制 审核自定义 RBAC 角色的使用情况 1.0.1

系统和组织控制 (SOC) 2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
逻辑访问控制和物理访问控制 CC6.3 基于 ROL 的访问权限和最小权限 审核自定义 RBAC 角色的使用情况 1.0.1

后续步骤