你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用对象:
NoSQL MongoDB Cassandra Gremlin 表
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure Cosmos DB 的“符合域”和“安全控件” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]: Cosmos 数据库帐户应为区域冗余 | 可以将 Cosmos 数据库帐户配置为区域冗余或非区域冗余。 如果“enableMultipleWriteLocations”设置为“true”,则所有位置都必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 如果“enableMultipleWriteLocations”设置为“false”,则主位置(将“failoverPriority”设置为 0)必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 强制执行此策略可确保为区域冗余正确配置 Cosmos 数据库帐户。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Cosmos DB 帐户不应允许来自所有 Azure 数据中心的流量 | 禁止 IP 防火墙规则“0.0.0.0”,它允许来自任何 Azure 数据中心的所有流量。 有关详细信息,请访问 https://aka.ms/cosmosdb-firewall | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户不应超过自上次重新生成帐户密钥以来允许的最大天数。 | 在指定的时间内重新生成密钥,以使数据受到更多保护。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Cosmos DB 允许的位置 | 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 | [parameters('policyEffect')] | 1.1.0 |
| 应禁用基于 Azure Cosmos DB 密钥的元数据写权限 | 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 | append | 1.0.0 |
| Azure Cosmos DB 应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制 Azure Cosmos DB 吞吐量 | 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 配置 Cosmos DB 数据库帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Cosmos DB 数据库帐户专门需要用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改,已禁用 | 1.1.0 |
| 将 CosmosDB 帐户配置为禁用公用网络访问 | 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改,已禁用 | 1.0.1 |
| 为 CosmosDB 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
| Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit、Deny、Disabled | 1.1.0 |
| Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 为 Cosmos DB 帐户部署高级威胁防护 | 此策略会在 Cosmos DB 帐户上启用高级威胁防护。 | DeployIfNotExists、Disabled | 1.0.0 |
| 按类别组为 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。