適用於 Data Factory 的 Azure 原則內建定義
適用於:
Azure Data Factory 
Azure Synapse Analytics
提示
試用 Microsoft Fabric 中的 Data Factory,這是適用於企業的全方位分析解決方案。 Microsoft Fabric 涵蓋從資料移動到資料科學、即時分析、商業智慧和報告的所有項目。 了解如何免費開始新的試用!
此頁面是適用於 Data Factory 的 Azure 原則內建原則定義索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Data Factory
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure Data Factory 管線應該只與允許的網域通訊 | 若要防止資料與權杖外流,請設定允許 Azure Data Factory 進行通訊的網域。 注意:在公開預覽期間,不會報告此原則的合規性,以及要套用至 Data Factory 的原則,請在 ADF 工作室中啟用輸出規則功能。 如需詳細資訊,請瀏覽 https://aka.ms/data-exfiltration-policy。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
| Azure 資料處理站應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理 Azure Data Factory 的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/adf-cmk。 | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory 整合執行階段應具有核心數目的限制 | 若要管理您的資源和成本,請限制整合執行階段的核心數目。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory 連結服務資源類型應在允許清單中 | 定義 Azure Data Factory 連結服務類型的允許清單。 限制允許的資源類型可讓您控制資料移動的界限。 例如,將範圍限制為只允許具有 Data Lake Storage Gen1 和 Gen2 的 Blob 儲存體進行分析,或將範圍限制為只允許即時查詢進行 SQL 和 Kusto 存取。 | Audit, Deny, Disabled | 1.1.0 |
| Azure Data Factory 連結服務應該使用 Key Vault 儲存祕密 | 為確保祕密 (例如連接字串) 受到安全地管理,需要使用者使用 Azure Key Vault 來提供祕密,而非將其指定內嵌於連結服務中。 | Audit, Deny, Disabled | 1.0.0 |
| 支援系統指派的受控識別驗證時,Azure Data Factory 連結服務應加以使用 | 透過連結服務與資料存放區通訊時,使用系統指派的受控識別,可避免使用較不安全的認證,例如密碼或連接字串。 | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory 應使用 Git 存放庫進行原始檔控制 | 僅使用 Git 整合設定您的開發資料處理站。 測試與生產的變更應該透過 CI/CD 部署,而且「不」需要具備 Git 整合。 「請勿」在您的 QA/測試/生產資料處理站上套用此原則。 | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定 Data Factory 以停用公用網路存取 | 停用 Data Factory 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | 修改、停用 | 1.0.0 |
| 設定 Data Factory 的私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure Data Factory 服務,就可以降低資料外洩風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.1.0 |
| 針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 應停用 Azure Data Factory 上的公用網路存取 | 停用公用網路存取屬性可提高安全性,方法是確定只能從私人端點存取 Azure Data Factory。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory 上的 SQL Server Integration Services 整合執行階段應聯結到虛擬網路 | Azure 虛擬網路部署可為 Azure Data Factory 上的 SQL Server Integration Services 整合執行階段提供強化的安全性及隔離,以及子網路、存取控制原則和其他功能,以進一步限制存取。 | Audit, Deny, Disabled | 2.3.0 |
相關內容
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。