このページは、Azure Service Bus Messagingの組み込みポリシー定義Azure Policyのインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Azure Service Bus Messaging
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Service Busゾーン冗長にする必要があります | Service Busはゾーン冗長に構成できます。 Service Busの 'zoneRedundant' プロパティが 'false' に設定されている場合は、ゾーン冗長が構成されていないことを意味します。 このポリシーは、Service Bus インスタンスのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
| RootManageSharedAccessKey を除くすべての承認規則Service Bus名前空間から削除する必要があります | Service Busクライアントは、名前空間内のすべてのキューとトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用しないでください。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus名前空間では、ローカル認証方法が無効になっている必要があります | ローカル認証方法を無効にすると、Azure Service Bus名前空間で認証にMicrosoft Entra ID ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus名前空間ではプライベート リンクを使用する必要があります | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントをService Bus名前空間にマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ローカル認証を無効にする名前空間Azure Service Bus構成します | Azure ServiceBus 名前空間が認証にMicrosoft Entra ID ID のみを必要とするように、ローカル認証方法を無効にします。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Modify、Disabled | 1.0.1 |
| プライベート エンドポイントを持つ名前空間Service Bus構成します | プライベート エンドポイントは、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続します。 プライベート エンドポイントをService Bus名前空間にマッピングすることで、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Service Busの診断設定を Event Hub にデプロイする | この診断設定がないService Busが作成または更新されたときに、Service Busの診断設定をデプロイしてリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Service Busの診断設定をワークスペースにデプロイLog Analytics | この診断設定がないService Busが作成または更新されたときに、Service Busの診断設定をデプロイしてリージョン Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.3.0 |
| イベント ハブへのService Bus名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループ別のログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus名前空間 (microsoft.servicebus/namespaces) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、Service Bus名前空間 (microsoft.servicebus/namespaces) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus名前空間 (microsoft.servicebus/namespaces) のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| Service Busのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus名前空間はパブリック ネットワーク アクセスを無効にする必要があります | Azure Service Busパブリック ネットワーク アクセスが無効になっている必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Service Bus名前空間では、二重暗号化が有効になっている必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Service Bus Premium 名前空間では、暗号化にカスタマー マネージド キーを使用する必要があります | Azure Service Busでは、Microsoft マネージド キー (既定) またはカスタマー マネージド キーを使用して保存データを暗号化するオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータの暗号化に使用Service Busキーへのアクセスを割り当て、ローテーション、無効化、取り消すことができます。 Service Busでは、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみがサポートされることに注意してください。 | Audit、Disabled | 1.0.0 |
| Service Bus Premium 名前空間では、ミッション プラットフォームでの暗号化にカスタマー マネージド キーを使用する必要があります | このポリシーは、Mission Platform の製品とサービスにのみ適用されます。これらのスコープ外での使用はサポートされていません。 カスタマー マネージド キーを使用して暗号化するために Premium 名前空間を要求すると、ミッション テナント内で暗号化マテリアル制御が維持され、厳密なデータ保護義務が満たされます。 | 監査、無効、拒否 | 1.0.0 |
| Service Busは外部プライベート エンドポイントへのアクセスを制限する必要があります | このポリシーは、Mission Platform の製品とサービスにのみ適用されます。これらのスコープ外での使用はサポートされていません。 プライベート エンドポイントの承認をテナント内サブスクリプションに制限すると、テナント間のデータ流出が防止され、承認されたミッション ワークロードへの接続Service Bus制限されます。https://learn.microsoft.com/azure/service-bus-messaging/private-endpoint-serviceを参照してください。 | Audit、Deny、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。