Azure Cosmos DB 用の Azure Policy 組み込み定義
適用対象: NoSQL MongoDB Cassandra Gremlin Table
このページは、Azure Cosmos DB 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Cosmos DB
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Cosmos データベース アカウントはゾーン冗長にする必要がある | Cosmos データベース アカウントは、ゾーン冗長にするようにも、ゾーン冗長にしないようにも構成できます。 "enableMultipleWriteLocations" が "true" に設定されている場合、すべての場所は、"isZoneRedundant" プロパティを持つ必要があるとともに、"true" に設定されている必要があります。 "enableMultipleWriteLocations" が "false" に設定されている場合、プライマリの場所 ("failoverPriority" は 0 に設定) は、"isZoneRedundant" プロパティを持つ必要があるとともに、"true" に設定されている必要があります。 このポリシーを適用すると、Cosmos データベース アカウントは、ゾーン冗長に対して適切に構成されるようになります。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
Azure Cosmos DB アカウントは、最後のアカウント キーの再生成以降に許可される最大日数を超えることはできません。 | データの保護を強化するには、指定された時間内にキーを再生成してください。 | Audit、Disabled | 1.0.0 |
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Cosmos DB が許可されている場所 | このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | [parameters('policyEffect')] | 1.1.0 |
Azure Cosmos DB キー ベースのメタデータ書き込みアクセスを無効にする必要がある | このポリシーを使用すると、すべての Azure Cosmos DB アカウントでキー ベースのメタデータ書き込みアクセスを無効にすることができます。 | append | 1.0.0 |
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cosmos DB のスループットを制限する必要がある | このポリシーを使用すると、Azure Cosmos DB データベースとコンテナーをリソースプロバイダーを介して作成するときに、組織で指定できる最大スループットを制限できます。 自動スケーリング リソースの作成をブロックします。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
ローカル認証を無効にするように Cosmos DB データベース アカウントを構成する | ローカル認証方法を無効にして、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Modify、Disabled | 1.1.0 |
公衆ネットワーク アクセスを無効にするように CosmosDB アカウントを構成する | CosmosDB リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Modify、Disabled | 1.0.1 |
プライベート エンドポイントを使用して CosmosDB アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを CosmosDB アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 | Audit、Disabled | 1.0.0 |
CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
Cosmos DB アカウントの Advanced Threat Protection のデプロイ | このポリシーを使用して、Cosmos DB アカウント全体で Advanced Threat Protection を有効にすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB (microsoft.documentdb/databaseaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) のカテゴリ グループによる Event Hub へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) のカテゴリ グループによる Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) のカテゴリ グループによる Storage へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/cassandraclusters のカテゴリ グループによるイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/cassandraclusters のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/cassandraclusters から Log Analytics へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/cassandraclusters の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/cassandraclusters から Storage へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/cassandraclusters のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/mongoclusters のカテゴリ グループによるイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/mongoclusters のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/mongoclusters のカテゴリ グループ別のログ記録を Log Analytics に有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/mongoclusters の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
microsoft.documentdb/mongoclusters から Storage へのカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.documentdb/mongoclusters のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。