Azure API Management 用の Azure Policy 組み込みポリシー定義
適用対象: すべての API Management レベル
このページは、Azure API Management 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。 API Management で API の動作を変更するために使用できるポリシーを探している場合は、「API Management ポリシー リファレンス」を参照してください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure API Management
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: API Management サービスはゾーン冗長である必要がある | API Management サービスは、ゾーン冗長になるようにも、ならないようにも構成できます。 API Management サービスは、SKU 名が 'Premium' で、ゾーン配列に少なくとも 2 つのエントリがある場合、ゾーン冗長です。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない API Management サービスを識別します。 | Audit、Deny、Disabled | 1.0.1-preview |
| Azure API Management の API エンドポイントを認証する必要がある | Azure API Management 内で公開されている API エンドポイントでは、セキュリティ リスクを最小限に抑えるために認証を実施する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは使用されていないと見なされるため、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists、Disabled | 1.0.1 |
| API Management APIs では暗号化されたプロトコルのみを使用する必要があります | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | Audit, Disabled, Deny | 2.0.2 |
| API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 | Audit, Disabled, Deny | 1.0.1 |
| API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | Audit, Disabled, Deny | 1.0.2 |
| API Management の直接管理エンドポイントを有効にしてはならない | Azure API Management の直接管理 REST API を使用すると、Azure Resource Manager のロールベースのアクセス制御、承認、調整メカニズムがバイパスされるため、サービスの脆弱性が高まります。 | Audit, Disabled, Deny | 1.0.2 |
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
| API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある | API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| API Management でユーザー名とパスワードの認証を無効にする必要があります | 開発者ポータルのセキュリティを強化するには、API Management でのユーザー名とパスワードの認証を無効にする必要があります。 Azure AD または Azure AD B2C ID プロバイダーを使用したユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | Audit、Disabled | 1.0.1 |
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | Audit, Disabled, Deny | 1.1.0 |
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 |
| API Management パブリック サービス構成エンドポイントへのアクセスを無効にするように API Management サービスを構成する | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| API Management を変更してユーザー名とパスワードの認証を無効にする | 開発者ポータルのユーザー アカウントとその資格情報のセキュリティを強化するには、Azure AD または Azure AD B2C ID プロバイダーを使用してユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | 変更 | 1.1.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。