Définitions intégrées d’Azure Policy pour la messagerie Azure Service Bus
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour la messagerie Azure Service Bus. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Messagerie Azure Service Bus
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] Service Bus doit être redondant au niveau de la zone | Service Bus peut être configuré pour être ou non redondant au niveau de la zone. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un Service Bus, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les instances Service Bus. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Service Bus | Les clients Service Bus ne doivent pas utiliser une stratégie d’accès au niveau de l’espace de noms qui donne accès à l’ensemble des files d’attente et rubriques d’un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Service Bus espaces de noms doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Service Bus imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de noms Azure Service Bus pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure Service Bus imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. | Modifier, Désactivé | 1.0.1 |
| Configurer des espaces de noms Service Bus avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Service Bus, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur Event Hub | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un hub d’événements régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur un espace de travail Log Analytics | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un espace de travail Log Analytics régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les espaces de noms Service Bus doivent désactiver l’accès au réseau public | Azure Service Bus doit avoir l’accès au réseau public désactivé. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Refuser, Désactivé | 1.1.0 |
| Le chiffrement double doit être activé pour les espaces de noms Service Bus | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement | Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. | Audit, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.