Azure Arc リソース ブリッジのセキュリティの概要

この記事では、企業内に Azure Arc リソース ブリッジを展開する前に評価しなければならない、セキュリティ構成と考慮事項について説明します。

マネージド ID

既定では、Microsoft Entra システムによって割り当てられたマネージド ID が作成され、Azure Arc リソース ブリッジに割り当てられます。 現在、Azure Arc リソース ブリッジでは、システムによって割り当てられた ID のみがサポートされています。 clusteridentityoperator ID により、最初の送信通信が行われ、他のエージェントが Azure との通信に使用する管理サービス ID (MSI) 証明書がフェッチされます。

ID とアクセスの制御

Azure Arc リソース ブリッジは、Azure サブスクリプション内のリソース グループのリソースとして表されます。 このリソースへのアクセスは、標準の Azure ロールベースのアクセス制御によって制御されます。 Azure portal の [Access Control (IAM)] ページから、Azure Arc リソース ブリッジにアクセスできるユーザーを確認できます。

リソース グループに対する共同作成者または管理者ロールを付与されたユーザーおよびアプリケーションは、クラスター拡張機能のデプロイや削除などの、リソース ブリッジに対する変更を加えることができます。

データの保存場所

Azure Arc リソース ブリッジは、各リージョンに固有のデータ所在地の規制に従います。 該当する場合、データは、データ所在地の規制に従ってセカンダリ ペア リージョンにバックアップされます。 それ以外の場合、データはその特定のリージョンにのみ保存されます。 異なる地域にまたがってデータが格納または処理されることはありません。

保存データの暗号化

Azure Arc リソース ブリッジは、Azure Cosmos DB にリソース情報を格納します。 「Azure Cosmos DB 内のデータ暗号化」で説明されているように、すべての保存データは暗号化されます。

セキュリティ監査ログ

アクティビティ ログは、Azure プラットフォームのログであり、サブスクリプションレベルのイベントの分析情報が提供されます。 これには、Azure Arc リソースブリッジが変更、削除、または追加されたタイミングなどのトラッキングが含まれます。

Azure portal でアクティビティ ログを表示したり、PowerShell と Azure CLI を使用してエントリを取得したりすることができます。 既定では、アクティビティログイベントは、90 日間保持された後、削除されます。

次のステップ