Azure NetApp Files の Azure Policy 定義
Azure Policy は、組織の標準を適用し、コンプライアンスを大規模に評価するのに役立ちます。 コンプライアンス ダッシュボードを通じて、環境の全体的な状態を評価するための集計ビューを提供します。これには、リソースごと、およびポリシーごとの粒度でドリルダウンできる機能が備わっています。 既存のリソースの一括修復と新しいリソースの自動修復を使用して、お客様のリソースでコンプライアンスを実現するのにも便利です。
Azure Policy の一般的なユースケースには、リソースの整合性、規制コンプライアンス、セキュリティ、コスト、管理のガバナンスの実装が含まれています。 これらの一般的なユース ケース用のポリシー定義は、使用を開始できるようにビルトインとして Azure 環境に既に用意されています。
Azure Policy でポリシーを作成して実装する手順は、(組み込みまたはカスタム) ポリシー定義の作成から始まります。 すべてのポリシー定義に、ポリシーが適用される条件があります。 また、条件が満たされた場合に実行される "効果" も定義されています。 Azure NetApp Files は、Azure Policy のカスタム ポリシー定義と組み込みポリシー定義の両方でサポートされています。
カスタム ポリシー定義
Azure NetApp Files では、Azure Policy がサポートされています。 カスタム ポリシー定義を作成することで、Azure NetApp Files と Azure Policy を統合できます。 例については、「Azure Policy を使用してスナップショット ポリシーを適用する」と「Azure NetApp Files で Azure Policy が使用できるようになりました」で見つけることができます。
組み込みのポリシー定義
Azure NetApp Files の Azure Policy 組み込み定義を使用すると、組織の管理者は安全でないボリュームの作成を制限したり、既存のボリュームを監査したりできます。 Azure Policy 内の各ポリシー定義には単一の "効果" があります。 その効果によって、ポリシー規則が一致すると評価されたときの動作が決まります。
Azure Policy の次の効果は、Azure NetApp Files で使用できます。
- 非準拠ボリュームの作成を "拒否" する
- コンプライアンスのために既存のボリュームを "監査" する
- ポリシー定義を "無効に" する
Azure NetApp Files では、次の Azure Policy 組み込み定義を使用できます。
Azure NetApp Files ボリュームではプロトコルの種類 NFSv3 を使用しない。
このポリシー定義により、ボリュームへのセキュリティで保護されていないアクセスを防ぐために、プロトコルの種類 NFSv3 の使用が禁止されます。 データの整合性と暗号化を保証するには、NFS ボリュームへのアクセスに、Kerberos プロトコルを使用した NFSv4.1 または NFSv4.1 を使用する必要があります。NFSv4.1 の種類の Azure NetApp Files ボリュームでは、Kerberos データ暗号化を使用する必要がある。
このポリシー定義では、データが暗号化されるように、Kerberos プライバシー (krb5p
) セキュリティ モードのみを使用できます。NFSv4.1 の種類の Azure NetApp Files ボリュームでは、Kerberos データ整合性またはデータ プライバシーを使用する必要がある。
このポリシー定義により、データの整合性とデータのプライバシーを確保するために、Kerberos 整合性 (krb5i
) または Kerberos プライバシー (krb5p
) が選択されます。Azure NetApp Files SMB ボリュームでは SMB3 暗号化を使用する必要がある。
このポリシー定義により、データ整合性とデータ プライバシーを確保するために、SMB3 暗号化なしの SMB ボリュームの作成が禁止されます。
リソースにポリシーを割り当て、コンプライアンス レポートを表示する方法については、「ポリシーを割り当てる」を参照してください。