你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 存储的 Azure Policy 内置定义
此页是 Azure 存储的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Microsoft.Storage
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应为存储帐户中的 Blob 启用 Azure 备份 | 通过启用 Azure 备份来确保对存储帐户的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| [预览]:存储帐户应为区域冗余 | 可以将存储帐户配置为区域冗余或非区域冗余。 如果存储帐户的 SKU 名称不以“ZRS”结尾,或者其类型为“存储”,则它不是区域冗余的。 此策略可确保存储帐户使用区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Azure 文件同步配置专用终结点 | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Blob 服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为 Blob 服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何 Blob 服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为文件服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为文件服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何文件服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为队列服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为队列服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何队列服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 为存储帐户配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为存储帐户部署诊断设置,以便在创建或更新缺少此诊断设置的任何存储帐户时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| 为表服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为表服务部署诊断设置,以便在创建或更新缺少此诊断设置的表服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| 在存储帐户上配置数据的安全传输 | 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
| 将存储帐户配置为使用专用链接连接 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
| 配置存储帐户以仅通过网络 ACL 绕过配置限制网络访问。 | 若要提高存储帐户的安全性,请仅通过网络 ACL 绕过启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | 修改,已禁用 | 1.0.0 |
| 将存储帐户公共访问配置为不允许 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | 修改,已禁用 | 1.0.0 |
| 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 | Audit、Deny、Disabled | 1.0.0 |
| 在存储帐户上部署 Defender for Storage(经典) | 此策略在存储帐户上启用 Defender for Storage(经典)。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| HPC 缓存帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
| 修改 - 将 Azure 文件同步配置为禁用公用网络访问 | 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 修改 - 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 请注意,不会修改现有存储帐户来启用 Blob 存储版本控制。 只有新创建的存储帐户才会启用 Blob 存储版本控制 | 修改,已禁用 | 1.0.0 |
| 应禁用对 Azure 文件同步进行公用网络访问 | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | Audit、Deny、Disabled | 3.0.0 |
| 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应受到允许的 SKU 的限制 | 限制组织可以部署的存储帐户 SKU 集。 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应为存储帐户配置共享访问签名 (SAS) 策略 | 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 来委托对 Azure 存储帐户中的资源的访问权限。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止跨租户对象复制 | 审核存储帐户的对象复制限制。 默认情况下,用户可以使用一个 Azure AD 租户中的源存储帐户和另一个租户中的目标帐户来配置对象复制。 这会造成安全隐患,因为客户的数据可以复制到该客户拥有的存储帐户中。 如果将 allowCrossTenantReplication 设置为 false,则仅当源帐户和目标帐户位于同一个 Azure AD 租户中时,才能配置对象复制。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止共享密钥访问 | 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 | Audit、Deny、Disabled | 2.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应仅通过网络 ACL 绕过配置限制网络访问。 | 若要提高存储帐户的安全性,请仅通过网络 ACL 绕过启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft.StorageCache
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| HPC 缓存帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
Microsoft.StorageSync
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| 为 Azure 文件同步配置专用终结点 | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 修改 - 将 Azure 文件同步配置为禁用公用网络访问 | 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
| 应禁用对 Azure 文件同步进行公用网络访问 | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft.ClassicStorage
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。