Azure 原則 Azure IoT 中樞的內建定義
如需示範如何實作常見 IoT 案例的範例程式代碼 IoT 中樞,請參閱 IoT 中樞 快速入門。 有多個程式設計語言的快速入門,包括 C、Node.js和 Python。
此頁面是 Azure IoT 中樞 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure IoT 中樞
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure IoT 中樞應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰加密 IoT 中樞的待用資料,會在預設服務自控金鑰之上新增第二層加密,讓客戶能夠控制金鑰、自訂輪替原則,以及透過金鑰存取控制管理資料的存取權。 客戶自控金鑰必須在 IoT 中樞建立期間設定。 如需如何設定客戶自控金鑰的詳細資訊,請參閱https://aka.ms/iotcmk。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:IoT 中樞裝置佈建服務資料應使用客戶自控金鑰 (CMK) 進行加密 | 使用客戶自控金鑰來管理 IoT 中樞裝置佈建服務的待用加密。 會使用服務代控金鑰進行待用加密,但若要遵循法規標準,通常需要有客戶自控金鑰 (CMK)。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 在 https://aka.ms/dps/CMK 深入了解 CMK 加密。 | Audit, Deny, Disabled | 1.0.0-preview |
| Azure IoT 中樞應停用服務 API 的本機驗證方法 | 停用本機驗證方法可確保 Azure IoT 中樞僅需要 Azure Active Directory 身分識別進行 Service Api 驗證,以提升安全性。 深入了解:https://aka.ms/iothubdisablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
| 設定 Azure IoT 中樞以停用本機驗證 | 停用本機驗證方法,讓您的 Azure IoT 中樞一定要使用 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/iothubdisablelocalauth。 | 修改、停用 | 1.0.0 |
| 設定 IoT 中樞裝置佈建服務執行個體以停用公用網路存取 | 停用 IoT 中樞裝置佈建執行個體的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/iotdpsvnet。 | 修改、停用 | 1.0.0 |
| 使用私人端點設定 IoT 中樞裝置佈建服務執行個體 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
| 部署 - 使用私人端點設定 Azure IoT 中樞 | 私人端點是在客戶自用虛擬網路內配置的私人 IP 位址,可透過來連線到 Azure 資源。 此原則可為 IoT 中樞部署私人端點,以允許 VNet 內的服務連線到 IoT 中樞,而不需要將流量傳送至 IoT 中樞的公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
| 針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 microsoft.devices/provisioningservices 啟用依類別群組對事件中樞的記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.devices/provisioningservices 的事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 為 Log Analytics 啟用 microsoft.devices/provisioningservices 的分類群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.devices/provisioningservices 的 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.devices/provisioningservices 啟用依類別群組進行記錄以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.devices/provisioningservices 的 儲存體 帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| IoT 中樞裝置佈建服務執行個體應停用公用網路存取 | 停用公用網路存取,可確保 IoT 中樞裝置佈建服務執行個體不會在公用網際網路上公開,進而改善安全性。 建立私人端點可以限制 IoT 中樞裝置佈建執行個體的曝光。 深入了解:https://aka.ms/iotdpsvnet。 | Audit, Deny, Disabled | 1.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| 修改 - 設定 Azure IoT 中樞以停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取,從而提高安全性。 此原則會停用 IoT 中樞資源的公用網路存取。 | 修改、停用 | 1.0.0 |
| 應為 IoT 中樞啟用私人端點 | 私人端點連線透過啟用 Azure IoT 中樞的私人連線,強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | Audit, Disabled | 1.0.0 |
| 應停用 Azure IoT 中樞上的公用網路存取 | 停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取,從而提高安全性。 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。