このページは、Azure StorageのAzure Policy組み込みのポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Microsoft。ストレージ
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| [プレビュー]: ストレージ アカウントの BLOB に対してAzure Backupを有効にする必要があります | Azure Backupを有効にして、ストレージ アカウントの保護を確保します。 Azure Backupは、Azureのためのセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azureファイル共有でAzure Backupを有効にする必要があります | Azure Backupを有効にして、Azureファイル共有の保護を確保します。 Azure Backupは、Azureのためのセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 新しいポリシーを使用して新しい Recovery Services コンテナーへの特定のタグを持つAzure Files共有のバックアップを構成します | Recovery Services コンテナーをストレージ アカウントと同じ場所とリソース グループにデプロイして、すべてのAzure Filesのバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 必要に応じて、指定したタグを含むストレージ アカウントにAzure Filesを含め、割り当てのスコープを制御できます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 同じ場所にある既存の Recovery Services コンテナーへの特定のタグを持つAzure Files共有のバックアップを構成します | すべてのAzure Filesのバックアップを適用するには、ストレージ アカウントと同じリージョン内の既存の中央 Recovery Services コンテナーにバックアップします。 コンテナーは、同じサブスクリプションまたは別のサブスクリプションに存在できます。 これは、中央チームがサブスクリプション間でバックアップを管理する場合に便利です。 必要に応じて、指定したタグを持つストレージ アカウントにAzure Filesを含め、ポリシー割り当てのスコープを制御できます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 新しいポリシーを使用して、新しい Recovery Services コンテナーに特定のタグを付けずにAzure Files共有のバックアップを構成します | Recovery Services コンテナーをストレージ アカウントと同じ場所とリソース グループにデプロイして、すべてのAzure Filesのバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 必要に応じて、指定したタグを含むストレージ アカウントのAzure Filesを除外して、割り当てのスコープを制御できます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 同じ場所にある既存の Recovery Services コンテナーに特定のタグを付けずに、Azure Files共有のバックアップを構成します | すべてのAzure Filesのバックアップを適用するには、ストレージ アカウントと同じリージョン内の既存の中央 Recovery Services コンテナーにバックアップします。 コンテナーは、同じサブスクリプションまたは別のサブスクリプションに存在できます。 これは、中央チームがサブスクリプション間でバックアップを管理する場合に便利です。 必要に応じて、指定したタグを持つストレージ アカウントのAzure Filesを除外して、ポリシー割り当てのスコープを制御できます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ストレージ アカウントはゾーン冗長にする必要がある | ストレージ アカウントは、ゾーン冗長になるようにも、ならないようにも構成できます。 ストレージ アカウントの SKU 名が 'ZRS' で終わらないか、その種類が "Storage" の場合、ゾーン冗長ではありません。 このポリシーを使うと、ストレージ アカウントでゾーン冗長構成が使用されるようになります。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure File Syncはプライベート リンクを使用する必要があります | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用したAzure File Syncの構成 | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 | DeployIfNotExists、Disabled | 1.0.0 |
| Blob Services の診断設定をワークスペースにLog Analyticsする構成 | Blob Services の診断設定をデプロイして、この診断設定がない BLOB サービスが作成または更新されたときに、リソース ログを Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| ファイル サービスの診断設定をワークスペースにLog Analyticsする構成 | File Services の診断設定をデプロイして、この診断設定がないファイル サービスが作成または更新されたときに、リソース ログを Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| Queue Services の診断設定をワークスペースにLog Analyticsする構成 | Queue Services の診断設定をデプロイして、この診断設定がないキュー サービスが作成または更新されたときに、リソース ログを Log Analytics ワークスペースにストリーミングします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントの診断設定をワークスペースにLog Analyticsする構成 | ストレージ アカウントの診断設定をデプロイして、この診断設定がないストレージ アカウントが作成または更新されたときに、リソース ログを Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| ワークスペースをLog Analyticsするための Table Services の診断設定の構成 | Table Services の診断設定をデプロイして、この診断設定がない table Service が作成または更新されたときに、リソース ログを Log Analytics ワークスペースにストリーミングします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントでデータの安全な転送を構成する | 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Modify、Disabled | 1.0.0 |
| ストレージ アカウントで BLOB とコンテナーの論理的な削除を構成する | まだ有効になっていない場合は、ストレージ アカウントに BLOB とコンテナーの両方に論理的な削除をデプロイします。 これにより、カスタマイズ可能な保持期間でデータ保護が保証されます。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート リンク接続を使用するようストレージ アカウントを構成する | プライベート エンドポイントは、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続します。 プライベート エンドポイントをストレージ アカウントにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするようにストレージ アカウントを構成する | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションは、Azure IP 範囲外のパブリック アドレス空間からのアクセスを無効にし、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインを拒否します。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.0.1 |
| ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限するようにストレージ アカウントを構成します。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Modify、Disabled | 1.0.0 |
| ストレージ アカウントのパブリック アクセスを不許可に構成する | Azure Storage内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するのに便利な方法ですが、セキュリティ 上のリスクが発生する可能性があります。 望ましくない匿名アクセスによって発生するデータ侵害を防ぐために、Microsoftは、シナリオで必要な場合を除き、ストレージ アカウントへのパブリック アクセスを防止することをお勧めします。 | Modify、Disabled | 1.0.0 |
| BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 | Audit、Deny、Disabled | 1.0.0 |
| resourceGroupName RG で VNet Flowlogs のリージョンストレージアカウントを作成する | 割り当てられたスコープとリソース グループ nwtarg-<subscriptionID> の下に、VNet フローログ用のリージョン ストレージ アカウントを既定で作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| HPC キャッシュ (microsoft.storagecache/caches) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| HPC キャッシュ (microsoft.storagecache/caches) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ ムーバー (microsoft.storagemover/storagemovers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ストレージ ムーバー (microsoft.storagemover/storagemovers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、ストレージ ムーバー (microsoft.storagemover/storagemovers) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| ストレージ ムーバー (microsoft.storagemover/storagemovers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ストレージ ムーバー (microsoft.storagemover/storagemovers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、Azure HPC Cacheの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | 監査、無効、拒否 | 2.0.0 |
| Modify - パブリック ネットワーク アクセスを無効にするようにAzure File Syncを構成します | Azure File Syncのインターネットにアクセスできるパブリック エンドポイントは、組織のポリシーによって無効になります。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 | Modify、Disabled | 1.0.0 |
| 変更 - BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 既存のストレージ アカウントは BLOB ストレージのバージョン管理が有効になるように変更されないことに注意してください。 BLOB のストレージ バージョン管理が有効になるのは、新しく作成されたストレージ アカウントのみです | Modify、Disabled | 1.0.0 |
| パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | Audit、Deny、Disabled | 1.0.0 | |
| Queue Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Queue Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時のAzure Storage暗号化の詳細については、https://aka.ms/azurestoragebyok を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzureキー コンテナー キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは、保存データに対して二重暗号化を使用する必要がある | セキュリティを強化するために、ストレージ アカウント暗号化スコープの保存時の暗号化に対して、インフラストラクチャ暗号化を有効にします。 インフラストラクチャ暗号化により、データが 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウント キーが期限切れにならないようにする必要がある | アカウント キーのセキュリティを向上させるために、キーの有効期限ポリシーが設定されている場合、ユーザー ストレージ アカウント キーが期限切れになるときにアクションを行うことによって、それらのキーが期限切れにならないようにしてください。 | Audit、Deny、Disabled | 3.0.0 |
| ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するのに便利な方法ですが、セキュリティ 上のリスクが発生する可能性があります。 望ましくない匿名アクセスによって発生するデータ侵害を防ぐために、Microsoftは、シナリオで必要な場合を除き、ストレージ アカウントへのパブリック アクセスを防止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.1 |
| ストレージ アカウントと対話する一部のMicrosoft servicesは、ネットワーク ルールを介してアクセスを許可できないネットワークから動作します。 この種類のサービスが意図したとおりに動作するようにするには、信頼されたMicrosoft servicesのセットがネットワーク 規則をバイパスできるようにします。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 | |
| ストレージ アカウントを許可されている SKU で制限する必要がある | 組織でデプロイできるストレージ アカウント SKU のセットを制限します。 | Audit、Deny、Disabled | 1.1.0 |
| Storage アカウントは新しいAzure Resource Manager リソースに移行する必要があります | ストレージ アカウントの新しいAzure Resource Managerを使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureセキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで公衆ネットワーク アクセスを無効にする必要がある | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションは、Azure IP 範囲外のパブリック アドレス空間からのアクセスを無効にし、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインを拒否します。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで Shared Access Signature (SAS) ポリシーが構成されている必要がある | ストレージ アカウントで Shared Access Signature (SAS) の有効期限ポリシーが有効になっていることを確認します。 ユーザーは SAS を使用して、Azure Storage アカウント内のリソースへのアクセスを委任します。 SAS の有効期限ポリシーでは、ユーザーが SAS トークンを作成するときの有効期限の上限をお勧めしています。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントには、指定された最小 TLS バージョンが必要 | クライアント アプリケーションとストレージ アカウントの間でのセキュリティで保護された通信のために、最小 TLS バージョンを構成します。 セキュリティ リスクを最小限に抑えるために、推奨される最小 TLS バージョンは最新のリリース バージョン (現在は TLS 1.2) となります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、クロス テナント オブジェクト レプリケーションを禁止する必要がある | ストレージ アカウントのオブジェクト レプリケーションの監査制限。 既定では、ユーザーは、1 つのAzure AD テナント内のソース ストレージ アカウントと、別のテナント内の宛先アカウントを使用してオブジェクト レプリケーションを構成できます。 顧客のデータは、顧客が所有するストレージ アカウントにレプリケートできるので、セキュリティ上の問題です。 allowCrossTenantReplication を false に設定すると、ソース アカウントと移行先アカウントの両方が同じ Azure AD テナントにある場合にのみ、オブジェクト レプリケーションを構成できます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 | Audit、Deny、Disabled | 2.0.0 |
| ストレージ アカウントでは、共有キーへのアクセスを禁止する必要があります (Databricks によって作成されたストレージ アカウントを除く) | ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するには、特定のAzure仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲へのアクセスを許可できます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントでは、ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限する必要があります。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントでは、仮想ネットワーク 規則を使用してネットワーク アクセスを制限する必要があります (Databricks によって作成されたストレージ アカウントを除く) | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| ストレージ アカウントにはプライベート リンクを使用する必要があります (Databricks によって作成されたストレージ アカウントを除く) | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ SAS トークンは、7 日間の最大有効期間に従う必要があります | このポリシーにより、ストレージ アカウントの Shared Access Signature (SAS) トークンが、最大有効期間が 7 日以下で構成されます。 SAS トークンの有効期間が長くなるストレージ アカウント、または適切な有効期限アクションが構成されていないストレージ アカウントを拒否または監査します。 | Audit、Deny、Disabled | 1.0.0 |
| Table Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Table Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft。StorageCache
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| HPC キャッシュ (microsoft.storagecache/caches) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| HPC キャッシュ (microsoft.storagecache/caches) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、HPC キャッシュ (microsoft.storagecache/caches) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、Azure HPC Cacheの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | 監査、無効、拒否 | 2.0.0 |
Microsoft。StorageSync
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| Azure File Syncはプライベート リンクを使用する必要があります | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用したAzure File Syncの構成 | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 | DeployIfNotExists、Disabled | 1.0.0 |
| Modify - パブリック ネットワーク アクセスを無効にするようにAzure File Syncを構成します | Azure File Syncのインターネットにアクセスできるパブリック エンドポイントは、組織のポリシーによって無効になります。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 | Modify、Disabled | 1.0.0 |
| パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | Audit、Deny、Disabled | 1.0.0 |
Microsoft。ClassicStorage
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| Storage アカウントは新しいAzure Resource Manager リソースに移行する必要があります | ストレージ アカウントの新しいAzure Resource Managerを使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureセキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。