Azure 原則 是 Azure 中的免費服務,可建立、指派和管理原則,以強制執行規則和效果,以確保您的資源符合公司標準和服務等級協議的規範。 使用這些原則來稽核 Web PubSub 資源以符合規範。
本文說明 Azure Web PubSub Service 的內建原則。
內建原則定義
下表包含 Azure Web PubSub 的 Azure 原則內建原則定義索引。 如需其他服務的 Azure 原則內建,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來檢視 Azure 原則 GitHub 存放庫上的來源。
| 名稱 (Azure 入口網站) |
說明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Web PubSub 服務應停用公用網路存取 | 停用公用網路存取,透過確保 Azure Web PubSub 服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 Azure Web PubSub 服務的曝光程度。 在下列位置中深入了解:https://aka.ms/awps/networkacls。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Web PubSub 服務應該啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists,已停用 | 1.0.0 |
| Azure Web PubSub 服務應停用本機驗證方法 | 停用本機驗證方法,確保 Azure Web PubSub 服務僅可要求以 Azure Active Directory 身分識別進行驗證,以提升安全性。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Web PubSub 服務應使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Web PubSub 服務,就可以降低資料外洩風險。 了解更多有關私人連結的信息:https://aka.ms/awps/privatelink。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Web PubSub 服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure Web PubSub 服務,就可以降低資料外洩風險。 了解更多有關私人連結的信息:https://aka.ms/awps/privatelink。 | 稽核、已停用 | 1.0.0 |
| 設定 Azure Web PubSub 服務以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Web PubSub 服務僅可要以 Azure Active Directory 身分識別進行驗證。 | 修改,已停用 | 1.0.0 |
| 設定 Azure Web PubSub 服務以停用公用網路存取 | 停用 Azure Web PubSub 資源的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 在下列位置中深入了解:https://aka.ms/awps/networkacls。 | 修改,已停用 | 1.0.0 |
| 請設定 Azure Web PubSub 服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Web PubSub 服務進行解析。 在下列位置中深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists,已停用 | 1.0.0 |
| 使用私人端點設定 Azure Web PubSub 服務 | 私人端點會將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Web PubSub 服務,就可以降低資料外洩風險。 了解更多有關私人連結的信息:https://aka.ms/awps/privatelink。 | DeployIfNotExists,已停用 | 1.0.0 |
指派原則定義
指派原則定義時:
- 您可以使用 Azure 入口網站、 Azure CLI、 Resource Manager 範本或 Azure 原則 SDK 來指派原則定義。
- 原則指派的範圍可以設定為資源群組、訂用帳戶或 Azure 管理群組。
- 您可以隨時啟用或停用 原則強制執行 。
- Web PubSub 原則指派適用於範圍內現有和新的 Web PubSub 資源。
備註
指派或更新原則之後,指派需要一些時間才能套用至定義範圍中的資源。 請參閱原則評估觸發程序的相關資訊。
檢閱原則合規性
使用 Azure 入口網站、Azure 命令列工具或 Azure 原則 SDK,存取原則指派所產生的合規性資訊。 如需詳細資訊,請參閱取得 Azure 資源的合規性資料。
如果資源不符合規範,有許多可能的原因。 若要判斷原因,或是找出導致此情況的變更,請參閱判斷不符合規範的原因。
入口網站中的原則合規性:
- 開啟 Azure 入口網站並搜尋 原則。
- 選取 [ 原則]。
- 選擇 合規性。
- 使用篩選來依 [範圍]、 [類型 ] 或 [ 合規性] 狀態顯示。 依名稱或標識碼使用搜尋清單。
- 選取原則以檢閱彙總合規性詳細資料和事件。
- 選取特定的 Web PubSub 以符合資源。
Azure CLI 中的原則合規性
您可以使用 Azure CLI 來取得合規性數據。 使用 az policy assignment list 命令來取得已套用之 Azure Web PubSub 服務原則的原則標識碼:
az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table
範例輸出:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
執行 az policy state list 命令,以傳回特定資源群組下所有資源的 JSON 格式合規性狀態:
az policy state list --g <resourceGroup>
執行 az policy state list 命令,以傳回特定 Web PubSub 資源的 JSON 格式合規性狀態:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>