Azure Storage 用の Azure Policy 組み込み定義
このページは、Azure Storage 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Microsoft.Storage
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ストレージ アカウントの BLOB に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、ストレージ アカウントを確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| [プレビュー]: ストレージ アカウントはゾーン冗長にする必要がある | ストレージ アカウントは、ゾーン冗長になるようにも、ならないようにも構成できます。 ストレージ アカウントの SKU 名が 'ZRS' で終わらないか、その種類が "Storage" の場合、ゾーン冗長ではありません。 このポリシーを使うと、ストレージ アカウントでゾーン冗長構成が使用されるようになります。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを持つ Azure File Sync を構成する | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 | DeployIfNotExists、Disabled | 1.0.0 |
| Blob service の診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Blob service が作成または更新されたときに、Blob service にその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| ファイル サービスの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のないファイル サービスが作成または更新されたときに、ファイル サービスにその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| Queue サービスの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Queue サービスが作成または更新されたときに、Queue サービスにその診断設定をデプロイします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のないストレージ アカウントが作成または更新されたときに、ストレージ アカウントにその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| Table Storage の診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Table Storage が作成または更新されたときに、Table Storage にその診断設定をデプロイします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントでデータの安全な転送を構成する | 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Modify、Disabled | 1.0.0 |
| プライベート リンク接続を使用するようストレージ アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをストレージ アカウントにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするようにストレージ アカウントを構成する | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.0.1 |
| ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限するようにストレージ アカウントを構成します。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Modify、Disabled | 1.0.0 |
| ストレージ アカウントのパブリック アクセスを不許可に構成する | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | Modify、Disabled | 1.0.0 |
| BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントに Defender for Storage (クラシック) をデプロイする | このポリシーを使用すると、ストレージ アカウントで Defender for Storage (クラシック) が有効になります。 | DeployIfNotExists、Disabled | 1.0.1 |
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Event Hub へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Hub へのストレージ ムーバー (microsoft.storagemover/storagemovers) のカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ストレージムーバー (microsoft.storagemover/storagemovers) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics へのストレージ ムーバー (microsoft.storagemover/storagemovers) のカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Storage ムーバー (microsoft.storagemover/storagemovers) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Storage movers (microsoft.storagemover/storagemovers) から Storage へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ストレージ ムーバー (microsoft.storagemover/storagemovers) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit, Disabled, Deny | 2.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure File Sync を構成する | Azure File Sync のインターネット アクセス可能なパブリック エンドポイントが組織のポリシーによって無効にされます。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 | Modify、Disabled | 1.0.0 |
| 変更 - BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 既存のストレージ アカウントは BLOB ストレージのバージョン管理が有効になるように変更されないことに注意してください。 BLOB のストレージ バージョン管理が有効になるのは、新しく作成されたストレージ アカウントのみです | Modify、Disabled | 1.0.0 |
| Azure File Sync の公衆ネットワーク アクセスを無効にする必要がある | パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | Audit、Deny、Disabled | 1.0.0 |
| Queue Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Queue Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは、保存データに対して二重暗号化を使用する必要がある | セキュリティを強化するために、ストレージ アカウント暗号化スコープの保存時の暗号化に対して、インフラストラクチャ暗号化を有効にします。 インフラストラクチャ暗号化により、データが 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウント キーが期限切れにならないようにする必要がある | アカウント キーのセキュリティを向上させるために、キーの有効期限ポリシーが設定されている場合、ユーザー ストレージ アカウント キーが期限切れになるときにアクションを行うことによって、それらのキーが期限切れにならないようにしてください。 | Audit、Deny、Disabled | 3.0.0 |
| ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントを許可されている SKU で制限する必要がある | 組織でデプロイできるストレージ アカウント SKU のセットを制限します。 | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで公衆ネットワーク アクセスを無効にする必要がある | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで Shared Access Signature (SAS) ポリシーが構成されている必要がある | ストレージ アカウントで Shared Access Signature (SAS) の有効期限ポリシーが有効になっていることを確認します。 ユーザーは、SAS を使用して Azure Storage アカウント内のリソースへのアクセスを委任します。 SAS の有効期限ポリシーでは、ユーザーが SAS トークンを作成するときの有効期限の上限をお勧めしています。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントには、指定された最小 TLS バージョンが必要 | クライアント アプリケーションとストレージ アカウントの間でのセキュリティで保護された通信のために、最小 TLS バージョンを構成します。 セキュリティ リスクを最小限に抑えるために、推奨される最小 TLS バージョンは最新のリリース バージョン (現在は TLS 1.2) となります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、クロス テナント オブジェクト レプリケーションを禁止する必要がある | ストレージ アカウントのオブジェクト レプリケーションの監査制限。 規定では、ユーザーは、1 つの Azure AD テナントのソース ストレージ アカウントと、別のテナントのコピー先アカウントで、オブジェクト レプリケーションを構成できます。 顧客のデータは、顧客が所有するストレージ アカウントにレプリケートできるので、セキュリティ上の問題です。 allowCrossTenantReplication を false に設定すると、ソース アカウントとコピー先アカウントの両方が同じ Microsoft Azure Active Directory テナント内にある場合にのみ、オブジェクトのレプリケーションを設定できます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 | Audit、Deny、Disabled | 2.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントでは、ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限する必要があります。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Table Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Table Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft.StorageCache
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Event Hub へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC キャッシュ (microsoft.storagecache/caches) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit, Disabled, Deny | 2.0.0 |
Microsoft.StorageSync
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを持つ Azure File Sync を構成する | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 | DeployIfNotExists、Disabled | 1.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure File Sync を構成する | Azure File Sync のインターネット アクセス可能なパブリック エンドポイントが組織のポリシーによって無効にされます。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 | Modify、Disabled | 1.0.0 |
| Azure File Sync の公衆ネットワーク アクセスを無効にする必要がある | パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft.ClassicStorage
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。