Azure 原則 Azure 服務匯流排 傳訊的內建定義
此頁面是 Azure 服務匯流排 傳訊 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 服務匯流排 傳訊
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:服務匯流排應該是「區域備援」 | 服務匯流排可以設定為「區域備援」。 當服務匯流排的 'zoneRedundant' 屬性設定為 'false' 時,不會設定為「區域備援」。 此原則會識別並強制執行服務匯流排執行個體的區域備援組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| 除了 RootManageSharedAccessKey 外,應從服務匯流排命名空間移除所有授權規則 | 服務匯流排用戶端不應該使用提供命名空間中所有佇列及主題存取權的命名空間層級存取原則。 若要與最低權限資訊安全模型達成一致,您應在佇列和主題的實體層級建立存取原則,以提供僅限特定實體的存取權 | Audit, Deny, Disabled | 1.0.1 |
| Azure 服務匯流排命名空間應該已停用本機驗證方法 | 停用本機驗證方法可確保 Azure 服務匯流排命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證,進而提升安全性。 深入了解:https://aka.ms/disablelocalauth-sb。 | Audit, Deny, Disabled | 1.0.1 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 服務匯流排命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 服務匯流排命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證。 深入了解:https://aka.ms/disablelocalauth-sb。 | 修改、停用 | 1.0.1 |
| 使用私人端點設定服務匯流排命名空間 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至服務匯流排命名空間,藉此降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將服務匯流排的診斷設定部署到事件中樞 | 針對服務匯流排部署診斷設定,以在任何缺少此診斷設定的服務匯流排建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
| 將服務匯流排的診斷設定部署至 Log Analytics 工作區 | 針對服務匯流排部署診斷設定,以在任何缺少此診斷設定的服務匯流排建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 2.1.0 |
| 針對服務匯流排命名空間 (microsoft.servicebus/namespaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對匯流排命名空間 (microsoft.servicebus/namespaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對服務匯流排命名空間 (microsoft.servicebus/namespaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對匯流排命名空間 (microsoft.servicebus/namespaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對服務匯流排命名空間 (microsoft.servicebus/namespaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對匯流排命名空間 (microsoft.servicebus/namespaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 服務匯流排命名空間應停用公用網路存取 | Azure 服務匯流排應停用公用網路存取。 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
| 服務匯流排命名空間應該啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 1.0.0 |
| 服務匯流排進階命名空間應使用客戶自控金鑰進行加密 | Azure 服務匯流排支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷服務匯流排將用來加密命名空間中資料的金鑰存取權。 請注意,服務匯流排僅支援使用客戶自控金鑰來加密進階命名空間。 | Audit, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。