Inbyggda Azure Policy-definitioner för Azure Service Bus-meddelanden
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Service Bus Messaging. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Service Bus-meddelanden
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Service Bus ska vara zonredundant | Service Bus kan konfigureras till zonredundant eller inte. När egenskapen "zoneRedundant" är inställd på "false" för en Service Bus innebär det att den inte har konfigurerats för zonredundans. Den här principen identifierar och framtvingar zonredundanskonfigurationen för Service Bus-instanser. | Granska, neka, inaktiverad | 1.0.0-preview |
| Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort från Service Bus-namnområdet | Service Bus-klienter bör inte använda en åtkomstprincip på namnområdesnivå som ger åtkomst till alla köer och ämnen i ett namnområde. Om du vill anpassa dig till säkerhetsmodellen med minst privilegier bör du skapa åtkomstprinciper på entitetsnivå för köer och ämnen för att endast ge åtkomst till den specifika entiteten | Granska, neka, inaktiverad | 1.0.1 |
| Azure Service Bus-namnområden ska ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Service Bus-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Service Bus-namnområden för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Azure ServiceBus-namnområden uteslutande kräver Microsoft Entra-ID-identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera Service Bus-namnområden med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Service Bus-namnområden kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera diagnostik Inställningar för Service Bus till Event Hub | Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional händelsehubb när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Distribuera diagnostik Inställningar för Service Bus till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional Log Analytics-arbetsyta när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Aktivera loggning efter kategorigrupp för Service Bus-namnområden (microsoft.servicebus/namespaces) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Service Bus-namnområden (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Service Bus-namnområden bör inaktivera åtkomst till offentligt nätverk | Åtkomsten till det offentliga nätverket ska vara inaktiverad i Azure Service Bus. Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Granska, neka, inaktiverad | 1.1.0 |
| Service Bus-namnområden bör ha dubbel kryptering aktiverat | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Service Bus Premium-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Service Bus stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i ditt namnområde. Observera att Service Bus endast stöder kryptering med kundhanterade nycklar för premiumnamnområden. | Granskning, inaktiverad | 1.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.