Azure NetApp Files 的 Azure 原則定義
Azure 原則有助於強制執行組織標準及大規模評估合規性。 其合規性儀表板會提供彙總檢視,以評估環境的整體狀態,並能夠向下切入至每個資源和每個原則的細微性。 也可透過對現有資源進行大規模補救,以及自動對新資源進行補救來協助您的資源達到合規性。
Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 這些常見使用案例的原則定義已內建在您的 Azure 環境中,可協助您開始進行作業。
建立及實作 Azure 原則中原則的程序始於建立 (內建或自訂) 原則定義。 每個原則定義都有其強制執行的條件。 還有已定義的效果,會在符合條件時發生。 Azure 原則的自訂和內建原則定義都支援 Azure NetApp Files。
自訂原則定義
Azure NetApp Files 支援 Azure 原則。 您可以透過建立自訂原則定義,將 Azure NetApp Files 與 Azure 原則整合。 您可以在強制執行 Azure 原則的快照集原則和 Azure 原則現在可用於 Azure NetApp Files 中找到範例。
內建原則定義
Azure NetApp Files 的 Azure 原則內建定義可讓組織系統管理員限制不安全磁碟區的建立或稽核現有的磁碟區。 「Azure 原則」中的每個原則定義都有一個效果。 該效果決定了當原則規則評估為相符時會發生的情況。
Azure 原則的下列效果可以搭配 Azure NetApp Files 使用:
- 拒絕建立不符合規範的磁碟區
- 稽核現有磁碟區以符合規範
- 停用原則定義
下列 Azure 原則內建定義可用於 Azure NetApp Files:
Azure NetApp Files 磁碟區不應使用 NFSv3 通訊協定類型。
此原則定義拒絕使用 NFSv3 通訊協定類型,以避免不安全存取磁碟區。 應使用 NFSv4.1 或 NFSv4.1 搭配 Kerberos 通訊協定來存取 NFS 磁碟區,以確保資料完整性及加密。類型 NFSv4.1 的 Azure NetApp Files 磁碟區應使用 Kerberos 資料加密。
此原則定義只允許使用 Kerberos 隱私權 (krb5p) 安全性模式,以確保資料已加密。類型 NFSv4.1 的 Azure NetApp Files 磁碟區應使用 Kerberos 資料完整性或資料隱私權。
此原則定義可確保選取 Kerberos 完整性 (krb5i) 或 Kerberos 隱私權 (krb5p),以確保資料完整性和資料隱私權。Azure NetApp Files SMB 磁碟區應使用 SMB3 加密。
此原則定義拒絕建立不含 SMB3 加密的 SMB 磁碟區,以確保資料完整性和資料隱私權。
若要了解如何將原則指派給資源並檢視合規性報告,請參閱指派原則。