Azure Container Apps 用の Azure Policy 組み込み定義
このページは、Azure Container Apps 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
ポリシーの定義
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Container Apps で認証を有効にする必要がある | Container Apps 認証は、匿名の HTTP 要求が Container App に到達するのを防いだり、トークンがあるものを Container App への到達前に認証したりできる機能です | AuditIfNotExists、Disabled | 1.0.1 |
Container App 環境ではネットワーク インジェクションを使用する必要がある | Container Apps 環境では、以下のために仮想ネットワーク インジェクションを使用する必要があります。1. Container Apps をパブリック インターネットから分離する。2. オンプレミスまたは他の Azure 仮想ネットワークにあるリソースとのネットワーク統合を有効にする。3. 環境との間で流れるネットワーク トラフィックをより細かく制御できるようにする。 | Audit, Disabled, Deny | 1.0.2 |
Container App はボリューム マウントを使用して構成する必要がある | 永続的なストレージ容量を確実に利用できるように、Container Apps に対してボリューム マウントの使用を強制します。 | Audit、Deny、Disabled | 1.0.1 |
Container Apps 環境ではパブリック ネットワーク アクセスを無効にする必要がある | 内部ロード バランサーを介して Container Apps 環境を公開することにより、公衆ネットワーク アクセスを無効にしてセキュリティを向上させます。 これにより、パブリック IP アドレスが不要になり、環境内のすべての Container Apps へのインターネット アクセスが遮断されます。 | Audit、Deny、Disabled | 1.1.0 |
Container Apps では外部ネットワーク アクセスを無効にする必要がある | 内部専用イングレスを強制することによって、Container Apps への外部ネットワーク アクセスを無効にします。 これにより、Container Apps の受信通信は、Container Apps 環境内の呼び出し元に限定されます。 | Audit、Deny、Disabled | 1.0.1 |
コンテナー アプリには HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 "allowInsecure" を無効にすると、Container Apps で要求が HTTP 接続から HTTPS 接続に自動的にリダイレクトされます。 | Audit、Deny、Disabled | 1.0.1 |
コンテナー アプリに対してマネージド ID を有効にする必要がある | マネージド ID を適用すると、Container Apps では、Azure AD 認証をサポートするすべてのリソースに対して安全に認証できるようになります | Audit、Deny、Disabled | 1.0.1 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。