Azure Arc 対応 Kubernetes の Azure Policy 組み込み定義

このページは、Azure Arc 対応 Kubernetes の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

Arc 対応 Kubernetes

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある Azure Defender の Azure Arc 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのコントロール プレーン (マスター) ノードからデータを収集し、それをクラウドの Azure Defender for Kubernetes のバックエンドに送信して、さらなる分析を行うことができます。 詳細については、「https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc」を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.0.0
Kubernetes クラスター コンテナーでは、ホスト プロセス ID またはホスト IPC 名前空間を共有してはいけない ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.0
Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにコンテナーを制限します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.1.0
Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.1.0
Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.0
Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.0
Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.0.0
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.1.0
Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 7.0.0
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS) と、AKS Engine および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、deny、disabled 6.0.0
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.0.0-preview
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.0
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.0.0-preview
Kubernetes クラスターでは特定のセキュリティ機能を使用しない Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.0.0-preview
Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.0.0-preview

次のステップ