Azure API Management 用の Azure Policy 組み込みポリシー定義

このページは、Azure API Management 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。 API Management ポリシーのサンプルについては、API Management のポリシーのインデックスに関する記事を参照してください。

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

Azure API Management

名前
(Azure portal)
説明 効果 Version
(GitHub)
API Management の API では暗号化されたプロトコルのみを使用する必要がある API では暗号化されたプロトコルを使用する必要があります。 API では、HTTP や WS などの暗号化されていないプロトコルを使用しないでください。 Audit, Disabled, Deny 2.0.1
API Management から API バックエンドへの呼び出しは認証する必要がある API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 Audit, Disabled, Deny 1.0.1
API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない API Management から API バックエンドへの呼び出しでは、証明書の拇印と証明書名を検証する必要があります。 Audit, Disabled, Deny 1.0.1
API Management の直接 API 管理エンドポイントを有効にしてはならない Azure API Management では、Azure Resource Manager ベースの API の特定の制限をバイパスできる直接管理 REST API が提供されます。既定では有効にしないでください。 Audit, Disabled, Deny 1.0.1
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 Audit、Deny、Disabled 1.0.1
API Management の名前付きの値のシークレットは Azure KeyVault に保存する必要がある 名前付きの値で参照されるシークレットは、名前付きの値のストア内ではなく Azure KeyVault に値を保存する必要があります。 Audit, Disabled, Deny 1.0.1
API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 Audit、Deny、Disabled 1.0.0
API Management サービスではパブリック ネットワーク アクセスを無効にする必要がある API Management サービスのセキュリティを向上させるために、エンドポイントがパブリック インターネットに公開されていないことを確認します。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 Audit、Disabled 1.0.1
API Management サブスクリプションのスコープを [すべての API] スコープにすることはできません。 API Management サブスクリプションは、すべての API ではなく、製品または個々の API でスコープを設定する必要があります。これにより、API Management インスタンス内のすべての API が公開される可能性があります。 Audit, Disabled, Deny 1.0.0
パブリック ネットワーク アクセスを無効にするように API Management サービスを構成する API Management サービスのセキュリティを向上させるために、パブリック エンドポイントを無効にします。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0

次のステップ