Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика Azure — это бесплатная служба в Azure для создания, назначения и управления политиками, которые применяют правила и эффекты, чтобы обеспечить соответствие ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Используйте эти политики для аудита ресурсов Web PubSub для обеспечения соответствия требованиям.
В этой статье описаны встроенные политики для службы Azure Web PubSub.
Встроенные определения политик
В следующей таблице содержится индекс встроенных определений политик Политики Azure для Azure Web PubSub. Встроенные определения политики Azure для других служб см. в встроенных определениях политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Используйте ссылку в столбце "Версия", чтобы просмотреть источник в репозитории GitHub политики Azure.
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Для службы Azure Web PubSub должен быть отключен доступ из общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure Web PubSub не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить доступ к службе Azure Web PubSub. См. дополнительные сведения: https://aka.ms/awps/networkacls. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для Службы Azure Web PubSub должны быть включены журналы диагностики | Аудит активации журналов диагностики. Это позволяет воссоздавать следы активности для использования в целях расследования, когда происходит инцидент безопасности или когда ваша сеть скомпрометирована. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure Web PubSub должна иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что служба Azure Web PubSub исключительно требует удостоверений Azure Active Directory для проверки подлинности. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Служба Azure Web PubSub должна использовать SKU с поддержкой приватного канала | При использовании поддерживаемого номера SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/awps/privatelink. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/awps/privatelink. | Аудит, отключено | 1.0.0 |
| Настройка службы Azure Web PubSub для отключения локальной проверки подлинности | Отключите локальные методы проверки подлинности, чтобы служба Azure Web PubSub исключительно требует удостоверений Azure Active Directory для проверки подлинности. | Изменить, Отключено | 1.0.0 |
| Настройка отключения доступа к общедоступной сети для службы Azure Web PubSub | Отключите доступ к общедоступной сети для своего ресурса Azure Web PubSub, чтобы он был недоступным через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/awps/networkacls. | Изменить, Отключено | 1.0.0 |
| Настройка использования частных зон DNS для службы Azure Web PubSub | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в службу Azure Web PubSub. См. дополнительные сведения: https://aka.ms/awps/privatelink. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка службы Azure Web PubSub с помощью частных конечных точек | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/awps/privatelink. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
Назначение определений политик
При назначении определения политики:
- Определения политик можно назначать с помощью портала Azure, Azure CLI, шаблона Resource Manager или пакетов SDK политики Azure.
- Назначения политик могут быть ограничены группой ресурсов, подпиской или группой управления Azure.
- Вы можете включить или отключить принудительное применение политик в любое время.
- Назначения политик Web PubSub применяются к существующим и новым ресурсам Web PubSub в области.
Замечание
После назначения или обновления политики потребуется некоторое время для применения назначения к ресурсам в определенной области. См. сведения о триггерах оценки политики.
Проверка соответствия политик
Получите доступ к информации о соответствии требованиям, созданной вашими назначениями политик, с помощью портала Azure, средств командной строки Azure или пакетов SDK для Azure Policy. Дополнительные сведения см. в статье "Получение данных о соответствии ресурсам Azure".
Если ресурс не соответствует требованиям, возможных причин этого множество. Чтобы определить причину или найти изменение, см. статью "Определение несоответствия".
Соответствие политик на портале:
- Откройте портал Azure и найдите политику.
- Выберите политику.
- Выберите Соответствие.
- Используйте фильтры для отображения по области, типу или состоянию соответствия. Используйте список поиска по имени или идентификатору.
- Выберите политику для просмотра статистических сведений о соответствии и событий.
- Выберите определенный веб-pubSub для соответствия ресурсам.
Соответствие политик в Azure CLI
Вы можете использовать Azure CLI для получения данных о соответствии. Используйте команду az policy assignment list , чтобы получить идентификаторы политики политик политик Azure Web PubSub Service, которые применяются:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
Пример выходных данных:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Выполните команду az policy state list , чтобы вернуть состояние соответствия в формате JSON для всех ресурсов в определенной группе ресурсов:
az policy state list --g <resourceGroup>
Выполните команду az policy state list , чтобы вернуть состояние соответствия в формате JSON определенного ресурса Web PubSub:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Дальнейшие шаги
Дополнительные сведения об определениях и эффектах политики Azure
Создание определения настраиваемой политики
Дополнительные сведения о возможностях управления в Azure