Azure App Configuration 用の Azure Policy 組み込み定義
このページは、Azure App Configuration 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure App Configuration
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Configuration でパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Configuration はカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。 | Audit、Deny、Disabled | 1.1.0 |
| App Configuration ではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Configuration は geo レプリケーションを使用する必要があります | geo レプリケーション機能を使用して、回復性と可用性を強化するために、現在の構成ストアの他の場所にレプリカを作成します。 さらに、マルチリージョン レプリカを使用すると、より適切な負荷分散、待機時間の短縮、データセンターの停止からの保護、グローバル分散ワークロードのコンパートメント化が可能になります。 詳細については、https://aka.ms/appconfig/geo-replication を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Configuration ストアでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、App Configuration ストアの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| ローカル認証方法を無効にするように App Configuration ストアを構成する | ローカルの認証方法を無効にして、App Configuration ストアの認証で Microsoft Entra の ID のみを要求するようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Modify、Disabled | 1.0.1 |
| App Configuration でパブリック ネットワーク アクセスを無効に構成する | App Configuration のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Modify、Disabled | 1.0.0 |
| App Configuration のプライベート エンドポイントの構成 | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。