Azure IoT Hub 用の Azure Policy 組み込み定義
共通 IoT シナリオの実装方法を示す IoT Hub サンプル コードについては、IoT Hub クイックスタートを参照してください。 C、Node.js、Python など、複数のプログラミング言語用のクイックスタートがあります。
このページは、Azure IoT Hub 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure IoT Hub
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure IoT Hub での保存データの暗号化には、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して IoT Hub の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 カスタマー マネージド キーは、IoT Hub の作成時に構成する必要があります。 カスタマー マネージド キーを構成する方法の詳細については、https://aka.ms/iotcmk を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある | カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure IoT Hub では、サービス API に対してローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure IoT Hub のサービス API 認証で Azure Active Directory ID のみを要求することによりセキュリティが向上します。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure IoT Hub を構成する | ローカル認証方法を無効にして、Azure IoT Hub の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように IoT Hub Device Provisioning Service インスタンスを構成する | IoT Hub デバイス プロビジョニング インスタンスの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して IoT Hub Device Provisioning Service インスタンスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクを減らすことができます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - プライベート エンドポイントを持つ Azure IoT ハブを構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT ハブ用にプライベート エンドポイントがデプロイされ、IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Hub に到達できるようにすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、IoT Hub Device Provisioning Service インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが強化されます。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの露出を制限できます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure IoT ハブを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| IoT Hub ではプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、IoT Hub へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | Audit、Disabled | 1.0.0 |
| Azure IoT Hub の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。