Azure Database for PostgreSQL 用の Azure Policy 規制コンプライアンス コントロール
適用対象: 
Azure Database for PostgreSQL - 単一サーバー
重要
Azure Database for PostgreSQL - シングル サーバーは廃止パスにあります。 Azure Database for PostgreSQL - フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for PostgreSQL - フレキシブル サーバーへの移行の詳細については、Azure Database for PostgreSQL 単一サーバーの現状に関するページを参照してください。
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Database for PostgreSQL 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
| Name (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー] Azure Database for PostgreSQL フレキシブル サーバーにはゾーン回復性が必要である | Azure Database for PostgreSQL フレキシブル サーバーはゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 高可用性のために同じゾーンでスタンバイ サーバーが選択されている PostgreSQL サーバーは、ゾーン アラインと見なされます。 これに対して、高可用性のためにスタンバイ サーバーが別のゾーンになるように選択されている PostgreSQL サーバーは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure PostgreSQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある | ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure PostgreSQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 | Audit、Disabled | 1.0.0-preview |
| Microsoft Entra 管理者が PostgreSQL フレキシブル サーバーに対してプロビジョニングされている必要がある | Microsoft Entra 管理者の PostgreSQL フレキシブル サーバーに対するプロビジョニングを監査して Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | PostgreSQL サーバーに対する Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.1 |
| PgAudit を使用した監査が PostgreSQL フレキシブル サーバーに対して有効である必要がある | このポリシーは、pgaudit の使用が有効になっていない環境内の PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Database for PostgreSQL フレキシブル サーバーで有効になるように Advanced Threat Protection を構成する | Azure Database for PostgreSQL フレキシブル サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティが検出されるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Database for PostgreSQL サーバーで Advanced Threat Protection が有効になるように構成する | Basic サービス レベル以外の Azure Database for PostgreSQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
| PostgreSQL データベース サーバーでは接続の調整が有効でなければならない | このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーでは接続の調整が有効でなければならない | このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーの診断設定を Log Analytics ワークスペースにデプロイする | リージョンの Log Analytics ワークスペースへのストリーミングを行うための PostgreSQL フレキシブル サーバーの診断設定を、この診断設定がない PostgreSQL フレキシブル サーバーが作成または更新された場合にデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーの切断はログに記録する必要がある。 | このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーの切断はログに記録する必要がある。 | このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/flexibleservers 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/flexibleservers 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/flexibleservers 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servergroupsv2 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servergroupsv2 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servergroupsv2 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servers 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servers 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.dbforpostgresql/servers 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバー (microsoft.dbforpostgresql/flexibleservers) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for PostgreSQL フレキシブル サーバー (microsoft.dbforpostgresql/flexibleservers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL フレキシブル サーバーでは [SSL 接続を強制する] を有効にする必要がある | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL フレキシブル サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース フレキシブル サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、PostgreSQL フレキシブル サーバーへのアクセスに対して SSL が常に有効にされます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL フレキシブル サーバーの geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL フレキシブル サーバーを使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.0 |
| Azure Database for PostgreSQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある | Azure Database for PostgreSQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない | このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーではログ チェックポイントが有効でなければならない | このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ接続が有効でなければならない | このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーではログ接続が有効でなければならない | このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ期間が有効でなければならない | このポリシーは、log_duration 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーは TLS バージョン 1.2 以降を実行している必要がある | このポリシーは、1.2 未満の TLS バージョンで実行されている環境内の PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバーは保存データの暗号化にカスタマーマネージド キーを使用する必要がある | PostgreSQL フレキシブル サーバーの保存時の暗号化を管理するためにカスタマー マネージド キーを使用します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.1.0 |
| PostgreSQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for PostgreSQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for PostgreSQL にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| PostgreSQL フレキシブル サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスをすべて厳密に無効にし、IP ベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 3.1.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。