雲端規模分析中的原則
考慮部署之前,組織必須備妥護欄。 藉由使用 Azure 原則,您可以實作資源一致性、法規合規性、安全性、成本和管理的治理。
背景
雲端規模分析的核心原則是,視需要輕鬆地建立、讀取、更新和刪除資源。 不過,雖然為開發人員提供不受限制的資源存取權,可能會讓他們變得敏捷,但也可能會導致非預期的成本後果。 此問題的解決方案是資源存取控管。 此治理是持續管理、監視和稽核 Azure 資源的使用,以符合貴組織的目標和需求。
開始使用 雲端採用架構 企業級登陸區域已使用此概念。 雲端規模分析會新增 自定義 Azure 原則 ,以建置這些標準。 標準接著會套用至我們的數據管理登陸區域和數據登陸區域。
顯示 Azure 治理運作方式的圖表。
在確保雲端規模分析內的安全性與合規性時,Azure 原則很重要。 這有助於強制執行標準,並大規模評估合規性。 原則可用來評估 Azure 中的資源,並將其與想要的屬性進行比較。 數個原則或商務規則可以分組為方案。 個別原則或方案可以指派給 Azure 中的不同範圍。 這些範圍可能是管理群組、訂用帳戶、資源群組或個別資源。 指派會套用至範圍內的所有資源,並視需要排除子範圍,但有例外狀況。
設計考量
雲端規模分析中的 Azure 原則是使用下列設計考慮來開發:
- 使用 Azure 原則來實作治理,並強制執行資源一致性、法規合規性、安全性、成本和管理的規則。
- 使用可用的預先建置原則來節省時間。
- 將原則指派給管理群組樹狀結構中可能的最高層級,以簡化原則管理。
- 限制在根管理群組範圍中所做的 Azure 原則 指派,以避免在繼承範圍中透過排除專案來管理。
- 只在必要時使用原則例外狀況,而且需要核准。
適用於雲端規模分析的 Azure 原則
實作自定義原則可讓您使用 Azure 原則 來執行更多作業。 雲端規模分析隨附一組預先建立的原則,可協助您在環境中實作任何必要的護欄。
Azure 原則應當作為 Azure (Data) 平台團隊的核心工具,以確保資料管理登陸區域、資料登陸區域,以及組織租賃用戶內其他登陸區域內的資源合規性。 此平臺功能應該用來引進護欄,並強制遵循個別管理群組範圍內的整體核准服務設定。 例如,平臺小組可以使用 Azure 原則,針對裝載於數據平台環境的任何記憶體帳戶強制執行私人端點,或針對對記憶體帳戶進行的任何連線強制執行 TLS 1.2 加密。 在正確執行時,此政策將禁止任何資料應用團隊在各自的租戶範圍內處於不合規狀態下裝載服務。
負責任的 IT 小組應使用此平臺功能來解決其安全性和合規性考慮,並開放 (Data) 登陸區域內的自助式方法。
雲端規模分析包含與 資源與成本管理、驗證、加密、網路隔離、記錄、復原等相關的自定義原則。
注意
原則應視為僅限指導方針,並可根據商務需求套用。 原則應一律套用至可能的最高層級,而且在大部分情況下,這會是 管理群組。
所有服務
| 原則名稱 |
原則區域 |
描述 |
| Deny-PublicIp |
網路隔離 |
限制公用IP的部署。 |
| Deny-PrivateEndpoint-PrivateLinkServiceConnections |
網路隔離 |
拒絕Microsoft Entra 租用戶和訂用帳戶外部資源的私人端點。 |
| Deploy-DNSZoneGroup-{Service}-PrivateEndpoint |
網路隔離 |
依服務私人端點的參數,部署 私用 DNS 區域群組的組態。 用來對單一 私用 DNS 區域強制執行組態。 |
| DiagnosticSettings-{Service}-LogAnalytics |
記錄 |
將 Azure Cosmos DB 的診斷設定傳送至 Log Analytics 工作區。 |
儲存體
| 原則名稱 |
原則區域 |
描述 |
| Append-Storage-Encryption |
加密 |
強制執行記憶體帳戶的加密。 |
| Deny-Storage-AllowBlobPublicAccess |
網路隔離 |
強制執行記憶體帳戶中所有 Blob 或容器的公用存取權。 |
| Deny-Storage-ContainerDeleteRetentionPolicy |
復原能力 |
針對記憶體帳戶強制執行大於七天的容器刪除保留原則。 |
| Deny-Storage-CorsRules |
網路隔離 |
拒絕記憶體帳戶的 Cors 規則。 |
| Deny-Storage-InfrastructureEncryption |
加密 |
為記憶體帳戶強制執行基礎結構 (double) 加密。 |
| Deny-Storage-MinimumTlsVersion |
加密 |
針對記憶體帳戶強制執行最低 TLS 1.2 版。 |
| Deny-Storage-NetworkAclsBypass |
網路隔離 |
針對記憶體帳戶,強制執行網路略過至無。 |
| Deny-Storage-NetworkAclsIpRules |
網路隔離 |
強制執行記憶體帳戶的網路IP規則。 |
| Deny-Storage-NetworkAclsVirtualNetworkRules |
網路隔離 |
拒絕記憶體帳戶的虛擬網路規則。 |
| Deny-Storage-Sku |
資源管理 |
強制執行記憶體帳戶 SKU。 |
| Deny-Storage-SupportsHttpsTrafficOnly |
加密 |
強制執行記憶體帳戶的 HTTPs 流量。 |
| Deploy-Storage-BlobServices |
資源管理 |
部署記憶體帳戶的 Blob 服務預設設定。 |
| Deny-Storage-RoutingPreference |
網路隔離 |
|
| Deny-Storage-Kind |
資源管理 |
|
| Deny-Storage-NetworkAclsDefaultAction |
網路隔離 |
|
金鑰保存庫
| 原則名稱 |
原則區域 |
描述 |
| Audit-KeyVault-PrivateEndpointId |
網路隔離 |
稽核在金鑰保存庫的其他訂用帳戶中建立的公用端點。 |
| Deny-KeyVault-NetworkAclsBypass |
網路隔離 |
強制略過金鑰保存庫的網路層級規則。 |
| Deny-KeyVault-NetworkAclsDefaultAction |
網路隔離 |
強制執行金鑰保存庫的預設網路 acl 層級動作。 |
| Deny-KeyVault-NetworkAclsIpRules |
網路隔離 |
強制執行金鑰保存庫的網路IP規則。 |
| Deny-KeyVault-NetworkAclsVirtualNetworkRules |
網路隔離 |
拒絕金鑰保存庫的虛擬網路規則。 |
| Deny-KeyVault-PurgeProtection |
復原能力 |
強制執行金鑰保存庫的清除保護。 |
| Deny-KeyVault-SoftDelete |
復原能力 |
強制虛刪除金鑰保存庫的保留天數下限。 |
| Deny-KeyVault-TenantId |
資源管理 |
強制執行金鑰保存庫的租用戶標識碼。 |
Azure Data Factory
| 原則名稱 |
原則區域 |
描述 |
| Append-DataFactory-IdentityType |
驗證 |
強制對數據處理站使用系統指派的身分識別。 |
| Deny-DataFactory-ApiVersion |
資源管理 |
拒絕 Data Factory V1 的舊版 API。 |
| Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork |
網路隔離 |
拒絕未連線到受控虛擬網路的整合執行個體。 |
| Deny-DataFactory-LinkedServicesConnectionStringType |
驗證 |
拒絕連結服務的非 金鑰保存庫 儲存的秘密。 |
| Deny-DataFactory-ManagedPrivateEndpoints |
網路隔離 |
拒絕連結服務的外部私人端點。 |
| Deny-DataFactory-PublicNetworkAccess |
網路隔離 |
拒絕對數據處理站的公用存取。 |
| Deploy-DataFactory-ManagedVirtualNetwork |
網路隔離 |
部署數據處理站的受控虛擬網路。 |
| Deploy-SelfHostedIntegrationRuntime-Sharing |
復原能力 |
在 Data Nodes 中,與 Data Factorys 共用裝載於數據中樞的自我裝載整合運行時間。 |
Azure Synapse Analytics
| 原則名稱 |
原則區域 |
描述 |
| Append-Synapse-LinkedAccessCheckOnTargetResource |
網路隔離 |
在建立 Synapse 工作區時,在受控虛擬網路設定中強制執行 LinkedAccessCheckOnTargetResource。 |
| Append-Synapse-Purview |
網路隔離 |
強制執行中央 purview 實例與 Synapse 工作區之間的連線。 |
| Append-SynapseSpark-ComputeIsolation |
資源管理 |
當建立 Synapse Spark 集區時,如果未設定計算隔離,則會新增它。 |
| Append-SynapseSpark-DefaultSparkLogFolder |
記錄 |
在未記錄的情況下建立 Synapse Spark 集區時,這會新增它。 |
| Append-SynapseSpark-SessionLevelPackages |
資源管理 |
在未包含會話層級套件的情況下建立 Synapse Spark 集區時,系統會新增這些套件。 |
| Audit-Synapse-PrivateEndpointId |
網路隔離 |
稽核在 Synapse 的其他訂用帳戶中建立的公用端點。 |
| Deny-Synapse-AllowedAadTenantIdsForLinking |
網路隔離 |
|
| Deny-Synapse-Firewall |
網路隔離 |
設定 Synapse 的防火牆。 |
| Deny-Synapse-ManagedVirtualNetwork |
網路隔離 |
在沒有受控虛擬網路的情況下建立 Synapse 工作區時,這會新增它。 |
| Deny-Synapse-PreventDataExfiltration |
網路隔離 |
強制防止 Synapse 受控虛擬網路的數據外洩。 |
| Deny-SynapsePrivateLinkHub |
網路隔離 |
拒絕 Synapse Private Link Hub。 |
| Deny-SynapseSpark-AutoPause |
資源管理 |
強制執行 Synapse Spark 集區的自動暫停。 |
| Deny-SynapseSpark-AutoScale |
資源管理 |
強制執行 Synapse Spark 集區的自動調整。 |
| Deny-SynapseSql-Sku |
資源管理 |
拒絕特定 Synapse SQL 集區 SKU。 |
| Deploy-SynapseSql-AuditingSettings |
記錄 |
將 Synapse SQL 集區的稽核記錄傳送至記錄分析。 |
| Deploy-SynapseSql-MetadataSynch |
資源管理 |
設定 Synapse SQL 集區的元數據同步處理。 |
| Deploy-SynapseSql-SecurityAlertPolicies |
記錄 |
部署 Synapse SQL 集區安全性警示原則。 |
| Deploy-SynapseSql-TransparentDataEncryption |
加密 |
部署 Synapse SQL 透明數據加密。 |
| Deploy-SynapseSql-VulnerabilityAssessment |
記錄 |
部署 Synapse SQL 集區弱點評估。 |
Azure Databricks
| 原則名稱 |
原則區域 |
描述 |
| Append-Databricks-PublicIp |
網路隔離 |
在 Databricks 工作區上強制執行沒有公用存取權。 |
| Deny-Databricks-Sku |
資源管理 |
拒絕非高級版 Databricks SKU。 |
| Deny-Databricks-VirtualNetwork |
網路隔離 |
拒絕 Databricks 的非虛擬網路部署。 |
透過叢集原則在 Databricks 工作區中套用的其他原則:
| 叢集原則名稱 |
原則區域 |
| 限制 Spark 版本 |
資源管理 |
| 限制叢集大小和 VM 類型 |
資源管理 |
| 強制執行成本標記 |
資源管理 |
| 強制執行自動調整 |
資源管理 |
| 強制自動暫停 |
資源管理 |
| 限制每小時 DBU |
資源管理 |
| 拒絕公用 SSH |
驗證 |
| 已啟用叢集認證傳遞 |
驗證 |
| 啟用進程隔離 |
網路隔離 |
| 強制執行Spark監視 |
記錄 |
| 強制執行叢集記錄 |
記錄 |
| 只允許 SQL、Python |
資源管理 |
| 拒絕其他設定腳本 |
資源管理 |
Azure IoT 中樞
| 原則名稱 |
原則區域 |
描述 |
| Append-IotHub-MinimalTlsVersion |
加密 |
針對 iot 中樞強制執行最低 TLS 版本。 |
| Audit-IotHub-PrivateEndpointId |
網路隔離 |
稽核在 iot 中樞的其他訂用帳戶中建立的公用端點。 |
| Deny-IotHub-PublicNetworkAccess |
網路隔離 |
拒絕 iot 中樞的公用網路存取。 |
| Deny-IotHub-Sku |
資源管理 |
強制執行 iot 中樞 SKU。 |
| Deploy-IotHub-IoTSecuritySolutions |
安全性 |
部署適用於 IoT 中樞 的適用於IoT的Defender Microsoft。 |
Azure 事件中樞
| 原則名稱 |
原則區域 |
描述 |
| Deny-EventHub-Ipfilterrules |
網路隔離 |
拒絕新增 Azure 事件中樞的ip篩選規則。 |
| Deny-EventHub-MaximumThroughputUnits |
網路隔離 |
拒絕我的 SQL Server 的公用網路存取。 |
| Deny-EventHub-NetworkRuleSet |
網路隔離 |
強制執行 Azure 事件中樞的預設虛擬網路規則。 |
| Deny-EventHub-Sku |
資源管理 |
拒絕 Azure 事件中樞的特定 ACPU。 |
| Deny-EventHub-Virtualnetworkrules |
網路隔離 |
拒絕新增 Azure 事件中樞的虛擬網路規則。 |
Azure 串流分析
| 原則名稱 |
原則區域 |
描述 |
| Append-StreamAnalytics-IdentityType |
驗證 |
強制使用系統指派的身分識別進行串流分析。 |
| Deny-StreamAnalytics-ClusterId |
資源管理 |
強制使用串流分析叢集。 |
| Deny-StreamAnalytics-StreamingUnits |
資源管理 |
強制執行串流分析串流單位的數目。 |
Azure 資料總管
| 原則名稱 |
原則區域 |
描述 |
| Deny-DataExplorer-DiskEncryption |
加密 |
強制對數據總管使用磁碟加密。 |
| Deny-DataExplorer-DoubleEncryption |
加密 |
強制對數據總管使用雙重加密。 |
| Deny-DataExplorer-Identity |
驗證 |
強制對數據總管使用系統或使用者指派的身分識別。 |
| Deny-DataExplorer-Sku |
資源管理 |
強制執行數據總管 SKU。 |
| Deny-DataExplorer-TrustedExternalTenants |
網路隔離 |
拒絕數據總管的外部租使用者。 |
| Deny-DataExplorer-VirtualNetworkConfiguration |
網路隔離 |
強制執行數據總管的虛擬網路擷取。 |
Azure Cosmos DB
| 原則名稱 |
原則區域 |
描述 |
| Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess |
驗證 |
拒絕 Azure Cosmos DB 帳戶的金鑰型元數據寫入存取權。 |
| Append-Cosmos-PublicNetworkAccess |
網路隔離 |
針對 Azure Cosmos DB 帳戶強制執行任何公用網路存取。 |
| Audit-Cosmos-PrivateEndpointId |
網路隔離 |
稽核在 Azure Cosmos DB 的其他訂用帳戶中建立的公用端點。 |
| Deny-Cosmos-Cors |
網路隔離 |
拒絕 Azure Cosmos DB 帳戶的 CORS 規則。 |
| Deny-Cosmos-PublicNetworkAccess |
網路隔離 |
拒絕 Azure Cosmos DB 帳戶的公用網路存取。 |
Azure Container Registry
| 原則名稱 |
原則區域 |
描述 |
| Audit-ContainerRegistry-PrivateEndpointId |
網路隔離 |
稽核在其他認知服務的訂用帳戶中建立的公用端點。 |
| Deny-ContainerRegistry-PublicNetworkAccess |
網路隔離 |
拒絕容器登錄的公用網路存取。 |
| Deny-ContainerRegistry-Sku |
資源管理 |
針對容器登錄強制執行進階 Sku。 |
Azure 認知服務
| 原則名稱 |
原則區域 |
描述 |
| Append-CognitiveServices-IdentityType |
驗證 |
強制針對認知服務使用系統指派的身分識別。 |
| Audit-CognitiveServices-PrivateEndpointId |
網路隔離 |
稽核在其他認知服務的訂用帳戶中建立的公用端點。 |
| Deny-CognitiveServices-Encryption |
加密 |
強制對認知服務使用加密。 |
| Deny-CognitiveServices-PublicNetworkAccess |
網路隔離 |
針對認知服務強制執行無公用網路存取權。 |
| Deny-CognitiveServices-Sku |
資源管理 |
拒絕免費認知服務 SKU。 |
| Deny-CognitiveServices-UserOwnedStorage |
網路隔離 |
針對認知服務強制執行用戶擁有的記憶體。 |
Azure Machine Learning
| 原則名稱 |
原則區域 |
描述 |
| Append-MachineLearning-PublicAccessWhenBehindVnet |
網路隔離 |
針對機器學習工作區拒絕虛擬網路後方的公用存取。 |
| Audit-MachineLearning-PrivateEndpointId |
網路隔離 |
稽核在機器學習的其他訂用帳戶中建立的公用端點。 |
| Deny-MachineLearning-HbiWorkspace |
網路隔離 |
在整個環境中強制執行高業務影響機器學習工作區。 |
| Deny-MachineLearningAks |
資源管理 |
拒絕在機器學習中建立 AKS (未附加)。 |
| Deny-MachineLearningCompute-SubnetId |
網路隔離 |
拒絕機器學習計算叢集和實例的公用IP。 |
| Deny-MachineLearningCompute-VmSize |
資源管理 |
限制機器學習計算叢集和實例允許的 VM 大小。 |
| Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess |
網路隔離 |
拒絕透過 SSH 公開存取叢集。 |
| Deny-MachineLearningComputeCluster-Scale |
資源管理 |
強制執行機器學習計算叢集的調整設定。 |
Azure SQL 受控執行個體
| 原則名稱 |
原則區域 |
描述 |
| Append-SqlManagedInstance-MinimalTlsVersion |
加密 |
針對 SQL 受管理執行個體 伺服器強制執行最低 TLS 版本。 |
| Deny-SqlManagedInstance-PublicDataEndpoint |
網路隔離 |
拒絕 SQL 受管理執行個體的公用數據端點。 |
| Deny-SqlManagedInstance-Sku |
資源管理 |
|
| Deny-SqlManagedInstance-SubnetId |
網路隔離 |
強制將部署至 SQL 受管理執行個體 的子網。 |
| Deploy-SqlManagedInstance-AzureAdOnlyAuthentications |
驗證 |
針對 SQL 受管理執行個體 強制執行Microsoft僅限 Entra 驗證。 |
| Deploy-SqlManagedInstance-SecurityAlertPolicies |
記錄 |
部署 SQL 受管理執行個體 安全性警示原則。 |
| Deploy-SqlManagedInstance-VulnerabilityAssessment |
記錄 |
部署 SQL 受管理執行個體 弱點評估。 |
Azure SQL Database
| 原則名稱 |
原則區域 |
描述 |
| Append-Sql-MinimalTlsVersion |
加密 |
針對 SQL Server 強制執行最低 TLS 版本。 |
| Audit-Sql-PrivateEndpointId |
網路隔離 |
稽核在 Azure SQL 的其他訂用帳戶中建立的公用端點。 |
| Deny-Sql-PublicNetworkAccess |
網路隔離 |
拒絕 SQL Server 的公用網路存取。 |
| Deny-Sql-StorageAccountType |
復原能力 |
強制執行異地備援資料庫備份。 |
| Deploy-Sql-AuditingSettings |
記錄 |
部署 SQL 稽核設定。 |
| Deploy-Sql-AzureAdOnlyAuthentications |
驗證 |
強制Microsoft SQL Server 的僅限 Entra 驗證。 |
| Deploy-Sql-SecurityAlertPolicies |
記錄 |
部署 SQL 安全性警示原則。 |
| Deploy-Sql-TransparentDataEncryption |
加密 |
部署 SQL 透明數據加密。 |
| Deploy-Sql-VulnerabilityAssessment |
記錄 |
部署 SQL 弱點評估。 |
| Deploy-SqlDw-AuditingSettings |
記錄 |
部署 SQL DW 稽核設定。 |
適用於 MariaDB 的 Azure 資料庫
| 原則名稱 |
原則區域 |
描述 |
| Append-MariaDb-MinimalTlsVersion |
加密 |
為 MariaDB 伺服器強制執行最低 TLS 版本。 |
| Audit-MariaDb-PrivateEndpointId |
網路隔離 |
稽核在 MariaDB 的其他訂用帳戶中建立的公用端點。 |
| Deny-MariaDb-PublicNetworkAccess |
網路隔離 |
拒絕 My MariaDB 伺服器的公用網路存取。 |
| Deny-MariaDb-StorageProfile |
復原能力 |
強制執行異地備援資料庫備份,以天數為單位的最小保留時間。 |
| Deploy-MariaDb-SecurityAlertPolicies |
記錄 |
部署 MariaDB 的 SQL 安全性警示原則 |
適用於 MySQL 的 Azure 資料庫
| 原則名稱 |
原則區域 |
描述 |
| Append-MySQL-MinimalTlsVersion |
加密 |
為 MySQL 伺服器強制執行最低 TLS 版本。 |
| Audit-MySql-PrivateEndpointId |
網路隔離 |
稽核在其他 MySQL 訂用帳戶中建立的公用端點。 |
| Deny-MySQL-InfrastructureEncryption |
加密 |
強制執行 MySQL 伺服器的基礎結構加密。 |
| Deny-MySQL-PublicNetworkAccess |
網路隔離 |
拒絕 MySQL 伺服器的公用網路存取。 |
| Deny-MySql-StorageProfile |
復原能力 |
強制執行異地備援資料庫備份,以天數為單位的最小保留時間。 |
| Deploy-MySql-SecurityAlertPolicies |
記錄 |
部署 MySQL 的 SQL 安全性警示原則。 |
適用於 PostgreSQL 的 Azure 資料庫
| 原則名稱 |
原則區域 |
描述 |
| Append-PostgreSQL-MinimalTlsVersion |
加密 |
針對 PostgreSQL 伺服器強制執行最低 TLS 版本。 |
| Audit-PostgreSql-PrivateEndpointId |
網路隔離 |
稽核在 PostgreSQL 的其他訂用帳戶中建立的公用端點。 |
| Deny-PostgreSQL-InfrastructureEncryption |
加密 |
強制執行 PostgreSQL 伺服器的基礎結構加密。 |
| Deny-PostgreSQL-PublicNetworkAccess |
網路隔離 |
拒絕 PostgreSQL 伺服器的公用網路存取。 |
| Deny-PostgreSql-StorageProfile |
復原能力 |
強制執行異地備援資料庫備份,以天數為單位的最小保留時間。 |
| Deploy-PostgreSql-SecurityAlertPolicies |
記錄 |
部署 PostgreSQL 的 SQL 安全性警示原則。 |
Azure AI 搜尋服務
| 原則名稱 |
原則區域 |
描述 |
| Append-Search-IdentityType |
驗證 |
強制使用 Azure AI 搜尋系統指派的身分識別。 |
| Audit-Search-PrivateEndpointId |
網路隔離 |
稽核在 Azure AI 搜尋的其他訂用帳戶中建立的公用端點。 |
| Deny-Search-PublicNetworkAccess |
網路隔離 |
拒絕 Azure AI 搜尋的公用網路存取。 |
| Deny-Search-Sku |
資源管理 |
強制執行 Azure AI 搜尋 SKU。 |
Azure DNS
| 原則名稱 |
原則區域 |
描述 |
| Deny-PrivateDnsZones |
資源管理 |
限制私人 DNS 區域的部署,以避免激增。 |
網路安全性群組
| 原則名稱 |
原則區域 |
描述 |
| Deploy-Nsg-FlowLogs |
記錄 |
部署 NSG 流量記錄和使用分析。 |
Batch
| 原則名稱 |
原則區域 |
描述 |
| Deny-Batch-InboundNatPools |
網路隔離 |
拒絕批次帳戶 VM 集區的輸入 NAT 集區。 |
| Deny-Batch-NetworkConfiguration |
網路隔離 |
拒絕批次帳戶 VM 集區的公用 IP 位址。 |
| Deny-Batch-PublicNetworkAccess |
網路隔離 |
拒絕批次帳戶的公用網路存取。 |
| Deny-Batch-Scale |
資源管理 |
拒絕批次帳戶 VM 集區的特定調整組態。 |
| Deny-Batch-VmSize |
資源管理 |
拒絕批次帳戶 VM 集區的特定 VM 大小。 |
Azure Cache for Redis
| 原則名稱 |
原則區域 |
描述 |
| Deny-Cache-Enterprise |
資源管理 |
拒絕 Redis Cache Enterprise。 |
| Deny-Cache-FirewallRules |
網路隔離 |
拒絕 Redis 快取的防火牆規則。 |
| Deny-Cache-MinimumTlsVersion |
加密 |
強制執行 Redis 快取的最低 TLS 版本。 |
| Deny-Cache-NonSslPort |
網路隔離 |
強制關閉 Redis 快取的非 SSL 埠。 |
| Deny-Cache-PublicNetworkAccess |
網路隔離 |
強制執行 Redis 快取的公用網路存取。 |
| Deny-Cache-Sku |
資源管理 |
強制執行 Redis 快取的特定 Sku。 |
| Deny-Cache-VnetInjection |
網路隔離 |
強制使用私人端點,並禁用 Redis 快取的虛擬網路注入。 |
容器執行個體
| 原則名稱 |
原則區域 |
描述 |
| Deny-ContainerInstance-PublicIpAddress |
網路隔離 |
拒絕從 Azure 機器學習 建立的公用 容器執行個體。 |
Azure 防火牆
| 原則名稱 |
原則區域 |
描述 |
| Deny-Firewall |
資源管理 |
限制部署 Azure 防火牆 以避免擴散。 |
HDInsight
| 原則名稱 |
原則區域 |
描述 |
| Deny-HdInsight-EncryptionAtHost |
加密 |
在 HDInsight 叢集的主機上強制執行加密。 |
| Deny-HdInsight-EncryptionInTransit |
加密 |
強制執行 HDInsight 叢集傳輸中的加密。 |
| Deny-HdInsight-MinimalTlsVersion |
加密 |
強制執行 HDInsight 叢集的最低 TLS 版本。 |
| Deny-HdInsight-NetworkProperties |
網路隔離 |
強制執行 HDInsight 叢集的私人連結啟用。 |
| Deny-HdInsight-Sku |
|
強制執行 HDInsight 叢集的特定 SKU。 |
| Deny-HdInsight-VirtualNetworkProfile |
網路隔離 |
強制執行 HDInsight 叢集的虛擬網路插入。 |
Power BI
| 原則名稱 |
原則區域 |
描述 |
| Deny-PrivateLinkServicesForPowerBI |
資源管理 |
限制 Power BI 的私人鏈接服務部署,以避免激增。 |
下一步