Azure Automation 用の Azure Policy 組み込み定義
このページは、Azure Automation 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Automation
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Automation アカウントではマネージド ID を使用する必要がある | マネージド ID は、Runbook の Azure リソースで認証するための推奨方法として使用します。 認証のためのマネージド ID は安全性に優れ、Runbook コードで RunAs アカウントを使用することにともなう間接管理費がなくなります。 | Audit、Disabled | 1.0.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Automation アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Automation アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようになるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Automation アカウントを構成する | ローカル認証方法を無効にして、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようにします。 | Modify、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Automation アカウントを構成する | Azure Automation アカウントの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
| Azure Automation アカウントでのプライベート エンドポイント接続の構成 | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Automation アカウントでプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。