Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
GÄLLER FÖR: 
NoSQL MongoDB Kassandra Gremlin Bord
Regelefterlevnad i Azure Policy ger Microsoft skapade och hanterade initiativdefinitioner, så kallade inbyggda, för efterlevnadsdomäner och säkerhetskontroller relaterade till olika efterlevnadsstandarder. På den här sidan visas efterlevnadsdomäner och säkerhetskontroller för Azure Cosmos DB. Du kan tilldela de inbyggda för en säkerhetskontroll individuellt för att göra dina Azure-resurser kompatibla med den specifika standarden.
Rubriken för varje inbyggd principdefinition länkar till principdefinitionen i Azure Portal. Använd länken i kolumnen Principversion för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Viktigt!
Varje kontroll är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy Regulatory Compliance-definitioner för dessa efterlevnadsstandarder kan ändras över tid.
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Cosmos-databaskonton ska vara zonredundanta | Cosmos Database-konton kan konfigureras så att de är zonredundanta eller inte. Om "enableMultipleWriteLocations" är inställt på "true" måste alla platser ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Om "enableMultipleWriteLocations" är inställt på "false" måste den primära platsen ("failoverPriority" inställd på 0) ha egenskapen "isZoneRedundant" och den måste vara inställd på "true". Genom att tillämpa den här principen säkerställer du att Cosmos Database-konton är korrekt konfigurerade för zonredundans. | Granska, neka, inaktiverad | 1.0.0-preview |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Cosmos DB-konton bör inte tillåta trafik från alla Azure-datacenter | Tillåt inte IP-brandväggsregeln "0.0.0.0", som tillåter all trafik från alla Azure-datacenter. Läs mer på https://aka.ms/cosmosdb-firewall | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton bör inte överskrida det maximala antalet tillåtna dagar sedan den senaste kontonyckeln återskapas. | Återskapa dina nycklar under den angivna tiden för att skydda dina data mer. | Granskning, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Tillåtna platser i Azure Cosmos DB | Med den här principen kan du begränsa de platser som din organisation kan ange när du distribuerar Azure Cosmos DB-resurser. Den används för att genomdriva kraven på geo-efterlevnad. | [parameters('policyEffect')] | 1.1.0 |
| Skrivåtkomst för azure Cosmos DB-nyckelbaserade metadata bör inaktiveras | Med den här principen kan du se till att alla Azure Cosmos DB-konton inaktiverar skrivåtkomst för nyckelbaserade metadata. | append | 1.0.0 |
| Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt CosmosDB-konto. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-dataflödet bör vara begränsat | Med den här principen kan du begränsa det maximala dataflöde som din organisation kan ange när du skapar Azure Cosmos DB-databaser och -containrar via resursprovidern. Det blockerar skapandet av autoskalningsresurser. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Konfigurera Cosmos DB-databaskonton för att inaktivera lokal autentisering | Inaktivera lokala autentiseringsmetoder så att dina Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera CosmosDB-konton för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för din CosmosDB-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Ändra, inaktiverad | 1.0.1 |
| Konfigurera CosmosDB-konton med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt CosmosDB-konto kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Cosmos DB-databaskonton uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Granska, neka, inaktiverad | 1.1.0 |
| Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Cosmos DB-databaser som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Advanced Threat Protection för Cosmos DB-konton | Den här principen aktiverar Advanced Threat Protection mellan Cosmos DB-konton. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cosmos DB (microsoft.documentdb/databaseaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure Cosmos DB-konton (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/cassandraclusters till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för microsoft.documentdb/mongoclusters till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Nästa steg
- Läs mer om regelefterlevnad i Azure Policy.
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.