Key Vault 用の Azure Policy 組み込み定義
このページは、Key Vault 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Key Vault (サービス)
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある | プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: 証明書は、指定の統合されていない証明機関のいずれかによって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Key Vault マネージド HSM を構成する | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Modify、Disabled | 2.0.0-preview |
| [プレビュー]: プライベート エンドポイントを使用して Azure Key Vault マネージド HSM を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Key Vault Managed HSM にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| Azure Key Vault Managed HSM で消去保護が有効になっている必要がある | Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) | キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key Vault では RBAC アクセス許可モデルを使用する必要がある | Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細については、https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration を参照してください | Audit、Deny、Disabled | 1.0.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| 証明書は、指定の統合された証明機関によって発行される必要がある | Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書は、指定の統合されていない証明機関によって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書には、指定された有効期間アクション トリガーが必要である | 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 証明書は、指定された日数内に期限が切れてはいけない | 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書は、許可されたキーの種類を使用する必要がある | 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である | キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある | キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| プライベート エンドポイントを使用して Azure Key Vault を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| ファイアウォールを有効にするようにキー コンテナーを構成する | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Modify、Disabled | 1.1.1 |
| デプロイ - Azure Key Vault の診断設定を Log Analytics ワークスペースに構成する | リソース ログをストリーミングするための Azure Key Vault の診断設定を、この診断設定を持たないキー コンテナーが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 2.0.1 |
| デプロイ - Azure Key Vault マネージド HSM で有効にする診断設定を Log Analytics ワークスペースに構成する | この診断設定がない Azure Key Vault マネージド HSM が作成または更新されたときに地域の Log Analytics ワークスペースにストリーム配信する Azure Key Vault マネージド HSM の診断設定をデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - Azure Key Vault Managed HSM で有効にする診断設定をイベント ハブに構成する | Azure Key Vault Managed HSM の診断設定をデプロイして、この診断設定がない Azure Key Vault Managed HSM が作成または更新されたときに地域のイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Key Vault の診断設定をイベント ハブにデプロイする | この診断設定がないキー コンテナーが作成または更新されたときに、Key Vault の診断設定をデプロイして、リージョンのイベント ハブにストリーム配信します。 | DeployIfNotExists、Disabled | 3.0.1 |
| Key Vault の診断設定を Log Analytics ワークスペースにデプロイする | Key Vault の診断設定をデプロイして、この診断設定がない Key Vault が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 3.0.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 | Audit、Disabled | 1.0.0 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
| ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある | HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 | Audit、Deny、Disabled | 1.0.1 |
| キーは、特定の暗号化の種類 (RSA または EC) である必要がある | 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| キーには、作成後指定された日数以内にローテーションがスケジュールされることを保証するローテーション ポリシーが含まれている必要があります。 | キーの作成後にローテーションが必要になるまでの最大日数を指定して、組織のコンプライアンス要件を管理します。 | Audit、Disabled | 1.0.0 |
| キーの有効期限には、指定された日数より先の日付を指定する必要がある | キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| キーには最長有効期間を指定する必要がある | キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くキーをアクティブにすることはできない | キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 | Audit、Deny、Disabled | 1.0.1 |
| 楕円曲線暗号を使用するキーに曲線名を指定する必要がある | 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある | キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある | セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| シークレットにはコンテンツの種類を設定する必要がある | コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットの有効期限は、指定された日数より先の日付を指定する必要がある | シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットには最長有効期間を指定する必要がある | キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くシークレットをアクティブにすることはできない | シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
Key Vault (オブジェクト)
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 証明書は、指定の統合されていない証明機関のいずれかによって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.0-preview |
| 証明書は、指定の統合された証明機関によって発行される必要がある | Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書は、指定の統合されていない証明機関によって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書には、指定された有効期間アクション トリガーが必要である | 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 証明書は、指定された日数内に期限が切れてはいけない | 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書は、許可されたキーの種類を使用する必要がある | 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である | キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある | キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある | HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 | Audit、Deny、Disabled | 1.0.1 |
| キーは、特定の暗号化の種類 (RSA または EC) である必要がある | 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| キーには、作成後指定された日数以内にローテーションがスケジュールされることを保証するローテーション ポリシーが含まれている必要があります。 | キーの作成後にローテーションが必要になるまでの最大日数を指定して、組織のコンプライアンス要件を管理します。 | Audit、Disabled | 1.0.0 |
| キーの有効期限には、指定された日数より先の日付を指定する必要がある | キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| キーには最長有効期間を指定する必要がある | キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くキーをアクティブにすることはできない | キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 | Audit、Deny、Disabled | 1.0.1 |
| 楕円曲線暗号を使用するキーに曲線名を指定する必要がある | 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある | キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットにはコンテンツの種類を設定する必要がある | コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットの有効期限は、指定された日数より先の日付を指定する必要がある | シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットには最長有効期間を指定する必要がある | キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くシークレットをアクティブにすることはできない | シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。