使用 Azure 原則來稽核 Azure 事件中樞命名空間的最低 TLS 版本合規性
如果您有大量的 Microsoft Azure 事件中樞命名空間,您可能會想要執行稽核,以確定所有命名空間皆已針對貴組織所需的最低 TLS 版本進行設定。 若要稽核一組事件中樞命名空間的合規性,請使用 Azure 原則。 Azure 原則是一項服務,可讓您用來建立、指派和管理將規則套用至 Azure 資源的原則。 當您使用 Azure 原則時,這些資源會符合您的公司標準及服務等級協定規範。 如需詳細資訊,請參閱 Azure 原則概觀。
建立具有稽核效果的原則
Azure 原則支援的效果可判斷對資源評估原則規則時所發生的情況。 當資源不符合規範時,此稽核效果會建立一則警告,但不會停止要求。 如需有關效果的詳細資訊,請參閱了解 Azure 原則效果。
若要使用 Azure 入口網站以最低 TLS 版本的「稽核」結果來建立原則,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。
在 [編寫] 區段底下,選取 [定義]。
選取 [新增原則定義] 以建立新的原則定義。
在 [ 定義位置] 欄位中,選取 [更多] 按鈕以指定稽核原則資源所在的位置。
指定原則的名稱。 您可以選擇性指定說明和類別。
在 [原則規則] 底下,將下列原則定義新增至 [policyRule] 區段。
{ "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.EventHub/namespaces" }, { "not": { "field": "Microsoft.EventHub/namespaces/minimumTlsVersion", "equals": "1.2" } } ] }, "then": { "effect": "audit" } } }
儲存原則。
指派原則
接著,將原則指派給資源。 原則的範圍會對應至該資源及其底下的任何資源。 如需原則指派的詳細資訊,請參閱 Azure 原則指派結構。
若要使用 Azure 入口網站指派原則,請遵循下列步驟:
- 在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。
- 在 [編寫] 區段底下,選取 [指派]。
- 選取 [指派原則] 以建立新的原則指派。
- 在 [範圍] 欄位中,選取原則指派的範圍。
- 在 [原則定義] 欄位中,選取 [更多] 按鈕,然後從清單中選取您在上一節中定義的原則。
- 提供原則指派的名稱。 描述是選擇性的。
- 將 [原則強制執行] 的設定保留為 [已啟用]。 此設定不會影響稽核原則。
- 選取 [檢閱 + 建立] 以建立指派。
檢視合規性報告
指派原則之後,您可以檢視合規性報告。 稽核原則的合規性報告會提供哪些事件中樞命名空間不符合原則的相關資訊。 如需詳細資訊,請參閱取得原則合規性資料。
在建立原則指派之後,可能需要幾分鐘的時間,合規性報告才會變成可用狀態。
若要在 Azure 入口網站中檢視合規性報告,請遵循下列步驟:
- 在 Azure 入口網站中,瀏覽至 [Azure 原則] 服務。
- 選取 [合規性]。
- 篩選您在上一個步驟中建立的原則指派名稱結果。 報告會顯示有多少資源不符合原則。
- 您可以向下切入報告以取得其他詳細資料,包括不符合規範的事件中樞命名空間清單。
使用 Azure 原則強制執行最低 TLS 版本
Azure 原則可藉由確保 Azure 資源遵循需求和標準,以支援雲端治理。 若要在您的組織中強制執行事件中樞命名空間的最低 TLS 版本需求,您可以建立原則,以防止建立新的事件中樞命名空間,將最低 TLS 需求設定為比原則規定還要舊的 TLS 版本。 如果現有命名空間的 TLS 版本設定與此原則不相容,此原則也會防止對現有命名空間進行所有設定變更。
強制原則會使用拒絕效果來防止要求建立或修改事件中樞命名空間,使最低 TLS 版本不再符合您組織的標準。 如需有關效果的詳細資訊,請參閱了解 Azure 原則效果。
若要為小於 TLS 1.2 的最低 TLS 版本建立具有拒絕效果的原則,請在原則定義的 policyRule 區段中提供下列 JSON:
{
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": " Microsoft.EventHub/namespaces"
},
{
"not": {
"field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
"equals": "1.2"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
在您建立具有拒絕效果的原則,並將其指派給某個範圍之後,使用者將無法建立其最低 TLS 版本比 1.2 版舊的事件中樞命名空間。 使用者也不能對現有的事件中樞命名空間進行任何設定變更,而現有儲存體帳戶目前需要的最低 TLS 版本比 1.2 版更舊。 嘗試這麼做會導致錯誤。 事件中樞命名空間所需的最低 TLS 版本必須設定為 1.2,才能繼續建立或設定命名空間。
如果您在具有拒絕效果的原則需要將最低 TLS 版本設定為 TLS 1.2 時,嘗試建立事件中樞命名空間並將最低 TLS 版本設定為 TLS 1.0,就會顯示錯誤。
下一步
請參閱下列文件以取得詳細資訊。