Définitions intégrées d’Azure Policy pour Data Factory
S’APPLIQUE À :
Azure Data Factory 
Azure Synapse Analytics
Conseil
Essayez Data Factory dans Microsoft Fabric, une solution d’analyse tout-en-un pour les entreprises. Microsoft Fabric couvre tous les aspects, du déplacement des données à la science des données, en passant par l’analyse en temps réel, l’aide à la décision et la création de rapports. Découvrez comment démarrer un nouvel essai gratuitement !
Cette page constitue un index des définitions de stratégies intégrées d'Azure Policy pour Data Factory. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Data Factory
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les pipelines Azure Data Factory ne doivent communiquer qu’avec des domaines autorisés | Pour empêcher l’exfiltration de données et de jetons, définissez les domaines avec lesquels Azure Data Factory doit être autorisé à communiquer. Remarque : en préversion publique, la conformité de cette stratégie n’est pas signalée et, pour que la stratégie soit appliquée à Data Factory, activez la fonctionnalité des règles de trafic sortant dans le studio ADF. Pour plus d’informations, consultez https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. | Audit, Refuser, Désactivé | 1.0.1 |
| Le runtime d’intégration Azure Data Factory doit avoir une limite pour le nombre de cœurs | Pour gérer vos ressources et les coûts, limitez le nombre de cœurs pour un runtime d’intégration. | Audit, Refuser, Désactivé | 1.0.0 |
| Le type de ressource de service lié Azure Data Factory doit figurer dans la liste verte | Définir la liste verte des types de services liés Azure Data Factory. La restriction des types de ressources autorisés permet de contrôler la limite du déplacement des données. Par exemple, définissez une étendue afin d’autoriser uniquement le stockage d’objets blob avec Data Lake Storage Gen1 et Gen2 à des fins d’analytique, ou une étendue afin d’autoriser uniquement l’accès à SQL et Kusto pour les requêtes en temps réel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les services liés Azure Data Factory doivent utiliser Key Vault pour le stockage des secrets | Pour garantir la gestion sécurisée des secrets (tels que les chaînes de connexion), demandez aux utilisateurs de fournir des secrets à l’aide d’un coffre de clés Azure au lieu de les spécifier inline dans les services liés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services liés Azure Data Factory doivent utiliser l’authentification par une identité managée affectée par le système lorsqu’elle est prise en charge | L’utilisation d’une identité managée affectée par le système lors de la communication avec les magasins de données par le biais de services liés permet d’éviter l’utilisation d’informations d’identification moins sécurisées, telles que les mots de passe ou les chaînes de connexion. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Data Factory doit utiliser un dépôt Git pour le contrôle de code source | Configurez uniquement votre fabrique de données de développement avec l’intégration Git. Les modifications apportées au niveau du test et de la production doivent être déployées par le biais de CI/CD et ne doivent PAS avoir d’intégration Git. N’appliquez PAS cette stratégie à vos fabriques de données AQ / de test / de production. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les fabriques de données pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre fabrique de données afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modifier, Désactivé | 1.0.0 |
| Configurer des points de terminaison privés pour les fabriques de données | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Factory, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure Data Factory doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure Data Factory n’est accessible qu’à partir d’un point de terminaison privé. | Audit, Refuser, Désactivé | 1.0.0 |
| Les runtimes d’intégration SQL Server Integration Services sur Azure Data Factory doivent être joints à un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et un isolement supérieur pour vos runtimes d’intégration SQL Server Integration Services sur Azure Data Factory, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. | Audit, Refuser, Désactivé | 2.3.0 |
Contenu connexe
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.