Definiciones integradas de Azure Policy para Data Factory (versión preliminar)
SE APLICA A:
Azure Data Factory 
Azure Synapse Analytics
Sugerencia
Pruebe Data Factory en Microsoft Fabric, una solución de análisis todo en uno para empresas. Microsoft Fabric abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real, la inteligencia empresarial y los informes. Obtenga información sobre cómo iniciar una nueva evaluación gratuita.
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Data Factory. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Data Factory
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: las canalizaciones de Azure Data Factory solo deben comunicarse con dominios permitidos | Para evitar la filtración de tokens y datos, establezca los dominios con los que debe permitirse que Azure Data Factory se comunique. Nota: Mientras se encuentre en versión preliminar pública, no se notifica el cumplimiento de esta directiva y, para que la directiva se aplique a Data Factory, habilite la funcionalidad de reglas de salida en ADF Studio. Para más información, visite https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. | Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| El entorno de ejecución de integración de Azure Data Factory debe tener un límite según el número de núcleos. | Para administrar los recursos y los costos, limite el número de núcleos de un entorno de ejecución de integración. | Audit, Deny, Disabled | 1.0.0 |
| El tipo de recurso de servicio vinculado de Azure Data Factory debe estar en la lista de permitidos. | Defina la lista de permitidos de los tipos de servicios vinculados de Azure Data Factory. Restringir los tipos de recursos permitidos permite controlar el límite del movimiento de datos. Por ejemplo, restrinja un ámbito para que solo permita el almacenamiento de blobs con Data Lake Storage Gen1 y Gen2 análisis o un ámbito para permitir solo el acceso de SQL y Kusto para las consultas en tiempo real. | Audit, Deny, Disabled | 1.1.0 |
| Los servicios vinculados de Azure Data Factory deben usar Key Vault para almacenar secretos. | Para asegurarse de que los secretos (como las cadenas de conexión) se administran de forma segura, pida a los usuarios que proporcionen los secretos con una instancia de Azure Key Vault en lugar de especificarlos en los servicios vinculados. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios vinculados de Azure Data Factory deben usar la autenticación de identidad administrada asignada por el sistema cuando se admita. | El uso de la identidad administrada asignada por el sistema al comunicarse con almacenes de datos mediante los servicios vinculados evita el uso de credenciales menos seguras, como contraseñas o cadenas de conexión. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory debe usar un repositorio de Git para el control de código fuente. | Configure solo la factoría de datos de desarrollo con la integración de Git. Los cambios en la prueba y producción deben implementarse a través de CI/CD y NO deben tener la integración de Git. NO aplique esta directiva en las factorías de datos de QA/prueba/producción. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar factorías de datos para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de Data Factory de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los puntos de conexión privados para factorías de datos | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a la instancia de Azure Data Factory, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure Data Factory. | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Factory desde un punto de conexión privado. | Audit, Deny, Disabled | 1.0.0 |
| Los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory deben unirse a una red virtual | La implementación de Azure Virtual Network proporciona seguridad y aislamiento mejorados para los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. | Audit, Deny, Disabled | 2.3.0 |
Contenido relacionado
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.