Definiciones integradas de Azure Policy para Azure Backup
Esta página es un índice de las definiciones de directivas integradas de Azure Policy en Azure Backup. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Backup
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los almacenes de Azure Recovery Services deben deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que el almacén de Recovery Services no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del almacén de Recovery Services. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Versión preliminar]: Backup and Site Recovery debe tener redundancia de zona | Backup and Site Recovery se puede configurar como con redundancia de zona o no. Backup and Site Recovery tiene redundancia de zona si la propiedad "standardTierStorageRedundancy" está establecida en "ZoneRedundant". La aplicación de esta directiva ayuda a garantizar que Backup and Site Recovery está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de los almacenes de Azure Recovery Services para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el almacén de servicios de recuperación para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modificar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configurar puntos de conexión privados en los almacenes de Azure Recovery Services | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de recuperación del sitio de los almacenes de Recovery Services, puede reducir los riesgos de pérdida de datos. Para usar vínculos privados, la identidad de servicio administrada debe asignarse a los almacenes de Recovery Services. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de almacenes de Recovery Services para usar puntos de conexión privados para copias de seguridad | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a almacenes de Recovery Services, se puede reducir el riesgo de pérdida de datos. Tenga en cuenta que los almacenes deben cumplir determinados requisitos previos para poder optar a la configuración del punto de conexión privado. Más información en: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Deshabilitar la restauración entre suscripciones para almacenes de Azure Recovery Services | Deshabilite o restaure permanentemente la suscripción cruzada para el almacén de Recovery Services, de forma que los destinos de restauración no puedan estar en una suscripción diferente de la suscripción del almacén. Más información en: https://aka.ms/csrenhancements. | Modificar, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: no permita la creación de almacenes de Recovery Services de redundancia de almacenamiento elegida. | Los almacenes de Recovery Services se pueden crear con cualquiera de las tres opciones de redundancia de almacenamiento actuales, es decir, almacenamiento con redundancia local, almacenamiento con redundancia de zona y almacenamiento con redundancia geográfica. Si las directivas de la organización requieren que bloquee la creación de almacenes que pertenecen a un tipo de redundancia determinado, puede lograr lo mismo mediante esta directiva de Azure. | Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: La inmutabilidad debe estar habilitada para almacenes de Recovery Services | Esta directiva audita si la propiedad de almacenes inmutables está habilitada para almacenes de Recovery Services en el ámbito. Esto ayuda a proteger los datos de copia de seguridad de ser eliminados antes de su expiración prevista. Obtenga más información en https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [versión preliminar]: La autorización multiusuario (MUA) debe estar habilitada para almacenes de Recovery Services. | Esta directiva audita si la autorización multiusuario (MUA) está habilitada para almacenes de Recovery Services. MUA ayuda a proteger los almacenes de Recovery Services agregando una capa adicional de protección a operaciones críticas. Para obtener más información, visite https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los almacenes de Recovery Services deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Obtenga más información sobre los vínculos privados para Azure Site Recovery en https://aka.ms/HybridScenarios-PrivateLink y https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: la eliminación temporal debe estar habilitada para almacenes de Recovery Services. | Esta directiva audita si la eliminación temporal está habilitada para almacenes de Recovery Services en el ámbito. La eliminación temporal puede ayudarle a recuperar sus datos incluso después de que se hayan eliminado. Obtenga más información en https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Implementar la Configuración de diagnóstico para el almacén de Recovery Services para el área de trabajo de Log Analytics con categorías específicas de recursos. | Permite implementar la Configuración de diagnóstico para el almacén de Recovery Services a fin de transmitir en secuencias al área de trabajo de Log Analytics para categorías específicas de recursos. Si alguna de las categorías específicas de recursos no está habilitada, se crea una nueva opción de configuración de diagnóstico. | deployIfNotExists | 1.0.2 |
| Habilitación del registro por grupo de categorías para almacenes de Recovery Services (microsoft.recoveryservices/vaults) en el centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para almacenes de Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para almacenes de Recovery Services (microsoft.recoveryservices/vaults) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para almacenes de Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para almacenes de Recovery Services (microsoft.recoveryservices/vaults) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para almacenes de Recovery Services (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.