Azure Policy の Azure Arc 対応 Kubernetes 組み込み定義
このページは、Azure Policy の Azure Arc 対応 Kubernetes 組み込みポリシー定義の索引です。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Arc 対応 Kubernetes
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: Azure Backup 拡張機能を AKS クラスターにインストールする必要がある | Azure Backup を活用するには、AKS クラスターにバックアップ拡張機能の保護がインストールされているようにします。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | DeployIfNotExists、Disabled | 7.3.0-preview |
| [プレビュー]: 特定のタグが付いた AKS クラスター (マネージド クラスター) に、Azure Backup の拡張機能をインストールします。 | Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグを含むすべての AKS クラスターに、バックアップ拡張機能のインストールを実施します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 特定のタグが付いていない AKS クラスター (マネージド クラスター) に、 Azure Backup の拡張機能をインストールします。 | Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグ値を持たないすべての AKS クラスターに、バックアップ拡張機能のインストールを適用します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Kubernetes クラスターでは特定のリソースの種類の作成を制限する必要がある | 特定の Kubernetes リソースの種類を、特定の名前空間にデプロイしないようにします。 | Audit、Deny、Disabled | 2.3.0-preview |
| Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Azure Arc 対応 Kubernetes クラスターは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターに、Open Service Mesh 拡張機能がインストールされている必要がある | Open Service Mesh 拡張機能は、アプリケーション サービスのセキュリティ、トラフィック管理、および監視に関するすべての標準的なサービス メッシュ機能を提供します。 詳細については、https://aka.ms/arc-osm-doc を参照してください。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターには、Strimzi Kafka 拡張機能がインストールされている必要がある | Strimzi Kafka 拡張機能は、セキュリティと監視の機能を備えたリアルタイムのデータ パイプラインとストリーミング アプリケーションを構築するために Kafka をインストールするオペレーターを提供します。 詳細情報: https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターを構成して Azure Policy の拡張機能をインストールする | Azure Arc 用の Azure Policy 拡張機能をデプロイして大規模に適用し、Arc 対応 Kubernetes クラスターを一元化された一貫性のある方法で保護します。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応 Kubernetes クラスターを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| Kubernetes クラスターで Flux 拡張機能のインストールを構成する | クラスター内で "fluxconfigurations" のデプロイを有効にするために、Kubernetes クラスターに Flux 拡張機能をインストールします | DeployIfNotExists、Disabled | 1.0.0 |
| バケット ソースと KeyVault 内のシークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された Bucket SecretKey が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリと HTTPS CA 証明書を使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、HTTPS CA 証明書が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| Git リポジトリと HTTPS シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された HTTPS キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリとローカル シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリと SSH シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック Git リポジトリを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| ローカル シークレットを使用して、指定された Flux v2 バケット ソースで Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| クラスター コンテナーに readiness probe または liveness probe が構成されていることを確認する | このポリシーでは、すべてのポッドに readiness probe または liveness probe が構成されていることが強制されます。 プローブの種類は、tcpSocket、httpGet、exec のいずれかになります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | Audit、Deny、Disabled | 3.3.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
| Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない | コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
| Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスター コンテナーでは、許可されているプル ポリシーのみを使用する必要がある | コンテナーのプル ポリシーを制限して、デプロイで許可されているイメージのみを使用するようコンテナーに強制します。 | Audit、Deny、Disabled | 3.2.0 |
| Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある | ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある | ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある | ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある | 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある | Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes クラスターでは、Naked Pod を使用しない | Naked Pod の使用をブロックします。 ノード障害が発生した場合、Naked Pod は再スケジュールされません。 ポッドは、Deployment、Replicset、Daemonset、または Jobs で管理する必要があります | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes クラスターの Windows コンテナーでは CPU とメモリをオーバーコミットすることができない | Windows コンテナー リソース要求は、オーバーコミットを回避するために、リソースの制限以下または未指定にする必要があります。 Windows メモリが過剰にプロビジョニングされている場合、メモリ不足でコンテナーを終了するのではなく、ディスク内のページが処理されるため、パフォーマンスが低下する可能性があります | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes クラスターの Windows コンテナーを ContainerAdministrator として実行することはできない | Windows ポッドまたはコンテナーのコンテナー プロセスを実行するためのユーザーとして ContainerAdministrator を使用できないようにします。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Kubernetes クラスター Windows コンテナーは、承認されたユーザーとドメイン ユーザー グループでのみ実行する必要がある | Kubernetes クラスターで Windows ポッドとコンテナーを実行するために使用できるユーザーを制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした、Windows ノード上のポッド セキュリティ ポリシーの一部です。 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes クラスターの Windows ポッドでは HostProcess コンテナーを実行しない | Windows ノードへの特権アクセスを禁止します。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない | CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint および EndpointSlice 権限では、名前空間間の転送が許可されます (https://github.com/kubernetes/kubernetes/issues/103675)。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Disabled | 3.2.0 |
| Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターでは特定のセキュリティ機能を使用しない | Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
| Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes クラスターでは、Container Storage Interface (CSI) ドライバー StorageClass を使用する必要があります | Container Storage Interface (CSI) は、Kubernetes のコンテナー化されたワークロードに任意のブロックおよびファイル ストレージ システムを公開する標準です。 AKS バージョン 1.21 以降、ツリー内プロビジョナー StorageClass は非推奨にする必要があります。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 | Audit、Deny、Disabled | 2.3.0 |
| Kubernetes リソースには必須の注釈が必要 | Kubernetes リソースのリソース管理を向上させるために、必要な注釈が特定の Kubernetes リソースの種類にアタッチされていることを確認します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 3.2.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。