Azure Service Bus Messaging 用の Azure Policy 組み込み定義
このページは、Azure Service Bus Messaging 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Service Bus Messaging
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Service Bus はゾーン冗長にする必要があります | Service Bus は、ゾーン冗長になるようにも、ならないようにも構成できます。 Service Bus の 'zoneRedundant' プロパティが 'false' に設定されている場合は、ゾーン冗長用に構成されていないことを意味します。 このポリシーでは、Service Bus インスタンスのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
| Service Bus の名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある | Service Bus クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus 名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Service Bus 名前空間の認証で Microsoft Entra ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Service Bus 名前空間を構成する | ローカル認証方法を無効にして、Azure ServiceBus 名前空間の認証で Microsoft Entra ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Modify、Disabled | 1.0.1 |
| プライベート エンドポイントを使用して Service Bus 名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Service Bus の診断設定をイベント ハブにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Service Bus の診断設定を Log Analytics ワークスペースにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.1.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus 名前空間ではパブリック ネットワーク アクセスを無効にする必要がある | Azure Service Bus ではパブリック ネットワーク アクセスを無効にする必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Microsoft Azure Service Bus の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。