Microsoft 教學

創建成本警示於Azure使用服務所產生之費用，隨時追蹤在Azure的支出。設定預算金額後，當在Azure產生之費用超出閥值時將給予特定人員警告，以便使用者主動式的追蹤成本，此外精細的設定時間段、特定服務、成本百分比，將有助於告警機制更準確地回報。

Azure 監視器計量支援多種類型的計量：
原生計量(Azure Resources) 會使用 Azure 監視器中的工具進行分析和警示。自定義計量(Agent)會從您設定的不同來源收集，包括虛擬機上執行的應用程式和代理程式。平台計量會從(Kubernetes) Azure 資源收集。 其不需要設定，且不需要任何成本。

Microsoft Entra 稽核記錄，這是 Microsoft Entra 識別碼中每個記錄事件的完整報告。 應用程式、群組、用戶和授權的變更全都會在 Microsoft Entra 稽核記錄中擷取。

Microsoft Azure 活動日誌 (Activity Log) 是一個平台日誌，提供了對 Azure 訂閱級別事件的見解。它包括資源被修改或虛擬機器啟動的信息，並幫助確定對 Azure 資源進行操作的「誰、什麼和什麼時候」。

Azure環境中每個服務在啟用時均會預設帶入predifined role以讓該服務功能可被完整的使用，但predefined role具有上千個不同的權限，而實際使用情境很可能只用到其中的數十個不等的權限，建議可依照每個使用服務情境來做細緻化的權限設定，盡可能減少使用predifined roles來做權限配置。

當超過帳號需要使用的權限，這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限，以避免上述過多權限所造成的問題，可以透過Azure RBAC來實現。

身份驗證最基本方式為使用帳號及密碼，為控管Azure使用者帳戶安全應要求使用者使用強密碼，並避免使用者重複使用使用相同密碼;若是有AAD premium帳戶，也可以使用password protection來針對弱勢密碼進行保護。

本篇文章將針對帳號身分驗證與識別管理做說明及建立安全機制，讓我們一起看下去吧！

在Azure 環境中各項產品均符合相關法規規範(如ISO27001, ISO27017等)，針對各產品也有提供資安規劃的最佳實踐，不過在資安的面相來說，安全性是仰賴責任共享原則(shared responsibility)，這意味著安全的服務上所佈建的應用程式安全和使用安全仰賴這使用者的規範和實作。