Azure Backup 用の Azure Policy 組み込み定義
このページは、Azure Backup 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Backup
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Recovery Services コンテナーで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネット上に Recovery Services コンテナーが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Recovery Services コンテナーの露出を制限できます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | Audit、Disabled | 2.0.0-preview |
[プレビュー]: Backup と Site Recovery はゾーン冗長である必要がある | Backup と Site Recovery は、ゾーン冗長になるようにも、ならないようにも構成できます。 'standardTierStorageRedundancy' プロパティが 'ZoneRedundant' に設定されている場合、Backup と Site Recovery はゾーン冗長です。 このポリシーを適用すると、Backup と Site Recovery のゾーン回復性が適切に構成され、ゾーン停止中のダウンタイムのリスクが減ります。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Recovery Services コンテナーを構成する | Recovery Services コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Modify、Disabled | 1.0.0-preview |
[プレビュー]: プライベート エンドポイントを Azure Recovery Services コンテナーに構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Recovery Services コンテナーのサイトの回復リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクを使用するには、マネージド サービス ID を Recovery Services コンテナーに割り当てる必要があります。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーのクロス サブスクリプション復元を無効にする | Recovery Services コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットをコンテナー サブスクリプションとは異なるサブスクリプションに含めることができなくなります。 詳細については、https://aka.ms/csrenhancements を参照してください。 | Modify、Disabled | 1.1.0-preview |
[プレビュー]: 選択したストレージ冗長性の Recovery Services コンテナーの作成を許可しない。 | Recovery Services コンテナーは、現在、3 つのストレージ冗長性オプション、つまりローカル冗長ストレージ、ゾーン冗長ストレージ、geo 冗長ストレージのいずれか 1 つを設定して作成できます。 組織内のポリシーで、特定の冗長性の種類に属するコンテナーの作成をブロックすることが求められている場合、この Azure ポリシーを使用して同じ結果を達成できます。 | Deny、Disabled | 1.0.0-preview |
[プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
[プレビュー]: Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効にする必要がある。 | このポリシーでは、Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効になっているか監査します。 MUA は、クリティカルな操作に保護層を追加することで Recovery Services コンテナーをセキュリティ保護する目的で役立ちます。 詳細情報はこちら (https://aka.ms/MUAforRSV) をご覧ください。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Recovery Services コンテナーではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 Azure Site Recovery のプライベート リンクの詳細については、https://aka.ms/HybridScenarios-PrivateLink および https://aka.ms/AzureToAzure-PrivateLink を参照してください。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Recovery Services コンテナーに対して論理的な削除を有効にする必要がある。 | このポリシーでは、スコープ内の Recovery Services コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除は、削除された後にデータを復旧するのに役立ちます。 詳細については、https://aka.ms/AB-SoftDelete をご覧ください。 | Audit、Disabled | 1.0.0-preview |
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする。 | リソース固有のカテゴリの Log Analytics ワークスペースにストリーム配信する Recovery Services コンテナーの診断設定をデプロイします。 リソース固有のカテゴリのいずれかが有効になっていない場合は、新しい診断設定が作成されます。 | deployIfNotExists | 1.0.2 |
Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Recovery Services コンテナー (microsoft.recoveryservices/vaults) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。