Data Factory 用の Azure Policy 組み込み定義
適用対象: 
Azure Data Factory 
Azure Synapse Analytics
ヒント
企業向けのオールインワン分析ソリューション、Microsoft Fabric の Data Factory をお試しください。 Microsoft Fabric は、データ移動からデータ サイエンス、リアルタイム分析、ビジネス インテリジェンス、レポートまで、あらゆるものをカバーしています。 無料で新しい試用版を開始する方法についてはこちらでご確認ください。
このページは、Data Factory 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Data Factory
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Data Factory パイプラインは許可されたドメインとのみ通信する必要がある | データとトークンの流出を防ぐために、Azure Data Factory に通信を許可するドメインを設定します。 注: パブリック プレビュー段階では、このポリシーについてのコンプライアンスは報告されません。ポリシーを Data Factory に適用するには、ADF Studio でアウトバウンド規則の機能を有効にしてください。 詳細については、https://aka.ms/data-exfiltration-policy を参照してください。 | Deny、Disabled | 1.0.0-preview |
| Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory 統合ランタイムのコア数を制限する必要がある | リソースとコストを管理するために、統合ランタイムのコア数を制限します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory のリンク サービス リソースの種類が許可リストに含まれている必要がある | Azure Data Factory のリンク サービスの種類の許可リストを定義します。 許可されるリソースの種類を制限することで、データ移動の境界を制御できます。 たとえば、分析用に Data Lake Storage Gen1 および Gen2 を使用する Blob Storage のみを許可するようにスコープを制限したり、リアルタイム クエリのために SQL および Kusto アクセスのみを許可するようにスコープを制限したりします。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Factory のリンク サービスでは、Key Vault を使用してシークレットを保存する必要がある | シークレット (接続文字列など) を安全に管理できるようにするには、リンク サービスでシークレットをインラインで指定するのではなく、Azure Key Vault を使用してシークレットを提供するようにユーザーに要求します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory のリンク サービスでは、システム割り当てマネージド ID 認証を使用する必要がある (サポートされている場合) | リンク サービスを介してデータ ストアと通信するときに、システム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報の使用を回避できます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory では、ソース管理に Git リポジトリを使用する必要がある | Git 統合で開発データ ファクトリのみを構成します。 テスト環境と運用環境に対する変更は CI/CD を介してデプロイする必要があり、Git 統合を行うべきではありません。 このポリシーを QA、テスト、運用データ ファクトリに適用しないでください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするようにデータ ファクトリを構成する | データ ファクトリのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | Modify、Disabled | 1.0.0 |
| データ ファクトリのプライベート エンドポイントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| データ ファクトリ (V2) (microsoft.datafactory/factories) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、データ ファクトリ (V2) (microsoft.datafactory/factories) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| データ ファクトリ (V2) (microsoft.datafactory/factories) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、データ ファクトリ (V2) (microsoft.datafactory/factories) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| データ ファクトリ (V2) (microsoft.datafactory/factories) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、データ ファクトリ (V2) (microsoft.datafactory/factories) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Data Factory のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory 上の SQL Server Integration Services 統合ランタイムでは仮想ネットワークに参加する必要がある | Azure Virtual Network のデプロイでは、Azure Data Factory 上の SQL Server Integration Services 統合ランタイムのための強化されたセキュリティと分離、サブネット、アクセス制御ポリシーなど、アクセスをさらに制限するための機能を提供します。 | Audit、Deny、Disabled | 2.3.0 |
関連するコンテンツ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。