標準装備のポリシーとカスタムポリシーの一覧を表示して、 がどのように環境をモニタリングし、ポリシーによってどのように検出結果がトリガーされるのかを確認できます。すべてのポリシーについて、ポリシーのベンチマークにマッピングされる特定のコンプライアンス基準と、そのベンチマークに合格または不合格になったリソースの数が表示されます。

ポリシーの管理

ポリシーを表示して管理する方法

1. コンソールで [Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットまたは IdP のポリシーを表示し、管理します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。**表示するポリシーとして
3. [Built-In]** (組み込み) または [Custom] (カスタム) を選択します。
4. テーブルをフィルタリングして、表示するデータの範囲を絞り込みます。テーブル右上の列ピッカーを使用して、どの列を表示するか選びます。詳細については、ポリシーの列データを参照してください。
5. ポリシーをクリックすると、詳細情報を含むスライド式パネルが開きます。ポリシーを確認し、管理します。詳細については、ポリシーの列データを参照してください。スライド式パネルには、次のようなポリシーの詳細が記載されています。

• 無視されたリソース:ポリシーに一致するが、除外設定のために実際には無視されたリソース。このリソースに関して無視された検出結果が作成されます。
• アクション:自動化ルールによって作成されたプッシュ通知の一覧。プッシュ通知は、このポリシーが検出結果をトリガーしたときに統合されているサードパーティツールに送信されます。
• 設定:ポリシー用の設定。たとえば、ポリシーが有効かどうかや、ポリシーから除外されるリソースの数などがあります。

6. 編集。次のポリシー管理アクティビティを実行できます。これらの設定の一部は、特定のポリシーでのみ使用できます。

• ポリシーを有効または無効にする
• 検出結果の作成を遅延させる
• 評価期間とパスワード要件を変更する
• 無効なアイデンティティの検出結果を作成する
• 招待保留中の Microsoft Entra ID ゲストユーザーの検出結果を作成する
• アクセス許可の使用学習期間を変更する
• グループから非アクティブなプリンシパルを削除することを推奨する
• メンバーアカウント root ユーザーの検出結果を作成する
• ポリシーからリソースを除外する
• ポリシーからシークレットを除外する
• パブリック Lambda 関数ポリシーから API Gateway パスを除外する
• ポリシーデータをエクスポートする

ポリシーの列データ

以下の列は、[Policies] (ポリシー) ページにあるテーブルに表示されます。そのほとんどは、テーブル内のデータのフィルタリングにも使用できます。

フィルター	説明
Platform (プラットフォーム)	クラウドサービスプロバイダーや IdP など。可能な値は次のとおりです。AWS、Azure、Microsoft Entra ID、GCP、OCI。
Category (カテゴリ)	ポリシーが属する論理カテゴリ。ポリシーカテゴリを参照してください。
Name (名前)	ポリシーの名前。
Severity (深刻度)	ポリシーの深刻度。ポリシーによってトリガーされた検出結果の深刻度を決めます。詳細については、動的深刻度と静的深刻度を参照してください。
Compliance (コンプライアンス)	ポリシーのベンチマークにマッピングされるコンプライアンス基準とセキュリティのベストプラクティス。
Status (ステータス)	ポリシーが有効か無効かを示します。ポリシーは対象アカウントのリソースに対して検出結果をトリガーしないように、ポリシーを有効または無効にできます。
Scanned Resources (スキャン対象リソース)	ポリシーがチェックするリソースの合計数。
Failed Resources (不合格のリソース)	ポリシーのベンチマークに合格できなかったリソースの数。リソースごとに検出結果を分けるポリシーの場合、不合格のリソースの数は検出結果の数と同じになります。リンクをクリックすると、検出結果の一覧が表示されます。
Excluded Resources (除外されたリソース)	ポリシーによって除外されたリソースの数。この数は、ポリシーによって実際に除外されたリソースの数を示します (除外を設定したが、実際には除外されなかったリソースは含まれません)。この数字は、環境内で次にデータが同期されるときに更新されます。詳細については、ポリシーからリソースを除外するを参照ください。
Policy Settings (ポリシー設定)	検出結果の表示 編集

ポリシーの有効化と無効化

デフォルトでは、標準装備のポリシーは有効化されていて (モニタリングポリシーを除く)、組織内のすべてのアカウントに適用されます。微調整したい場合は、組織全体でポリシーを無効にするか、アカウントやフォルダーの特定のサブセットのみポリシーを無効にすることができます。フォルダーを使用したアカウントのグループ化については、フォルダーを使用したアカウント階層の作成を参照してください。たとえば、VPC フローログの問題など、修正の必要がない深刻度の低い設定ミスが検出される場合は、ポリシーを無効にするとよいでしょう。

ポリシーを有効化または無効化する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。

3. 関連するポリシーに移動します。

4. 三点リーダー をクリックし、[Edit] (編集) をクリックします。
   

5. [Status] (ステータス) セクションで、関連オプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。組織全体を範囲として選択した場合、このオプションは表示されません。
• [Enabled] (有効) (親レベルの構成をオーバーライドします)。ポリシールールに違反すると、検出結果が作成されます。
• [Disabled] (無効) (親レベルの構成をオーバーライドします)。ポリシールールに違反しても、検出結果は作成されません。

6. [Save] (保存) をクリックします。

検出結果の作成を遅延させる

ポリシールールに違反した後、検出結果の作成を指定した時間延期します。設定された遅延は、その設定が行われた後に作成された新しいリソースにのみ適用されます (リソースの作成時間に基づきます)。この設定は、特定のアカウント範囲のポリシーごとに行われます。この設定は、すべてのポリシーで利用できるわけではありません。

一般的に、 では検出結果の作成を「遅らせない」ことを推奨していますが、遅らせた方がよい場合もいくつかあります。たとえば、お使いの環境のメンテナンス中に大量のリソースを作成または削除する場合や、一時的なリソースに関連するノイズを減らす場合などです。

検出結果作成を遅延させる方法

1. コンソールで、[Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。

3. 関連するポリシーに移動します。

4. 三点リーダー をクリックし、[Edit] (編集) をクリックします。
   

5. [Delay] (遅延) セクションで、関連オプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。組織全体を範囲として選択した場合、このオプションは表示されません。
• [Immediately] (即時) (親レベルの構成をオーバーライドします)。検出結果の作成を遅延させません。ポリシールールへの違反があると、直ちに検出結果が作成されます。
• [Custom] (カスタム) (親レベルの構成をオーバーライドします)。検出結果の作成を遅らせるカスタム日数を選択します。

6. [Save] (保存) をクリックします。

評価期間とパスワード要件を変更する

は特定のポリシーに対してデフォルトの評価期間とパスワード要件を使用します。組織はこれらのポリシーをカスタマイズして、内部ポリシー基準を定義できます。たとえば、キーのローテーションをデフォルトの 12 か月ではなく、6 か月ごとに設定できます。

  **評価期間**とは、検出結果をトリガーする前にポリシーを評価するために使用される時間設定を指します。これには、**ローテーション期間**、**保持期間**、**非アクティブ期間**が含まれ、それぞれでポリシーを適用する特定の期間を定義します。これにより、検出結果がオープンになる前に時間をかけてリソースを分析できます。

パスワード要件は文字数などのパスワード設定を指します。パスワード設定により、アカウントのパスワード作成時にパスワードがパスワードポリシーの要件を満たしていることを確認できます。パスワードの長さはデフォルトで 14 文字ですが、たとえばこれを 20 文字にすることができます。

評価期間またはパスワード要件を変更する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。
2. サポートされているポリシーのいずれかに移動します。
3. 三点リーダー をクリックし、[Edit] (編集) をクリックします。
4. セクションのタイトルは、ポリシー設定のタイプによって異なります。

• ローテーション期間:ローテーション期間のカスタム日数を選択します。
• 保持期間:保持期間のカスタム日数を選択します。
• 非アクティブ期間:非アクティブ期間のカスタム日数を選択します。
• パスワード要件: デフォルト値を更新します。

5. アカウントの範囲が [Organization] (組織) にない場合は、関連オプションを選択します。

• 継承。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。組織全体を範囲として選択した場合、このオプションは表示されません。
• [Custom] (カスタム) (親レベルの構成をオーバーライドします)。評価期間のカスタム日数 (1～365) を選択します。

6. [保存] をクリックします。

サポートされているポリシー

内部標準に準拠させるために、以下のポリシーのデフォルトの評価期間とパスワード要件を変更できます。

無効なアイデンティティの検出結果を作成する

無効なアイデンティティに対して非アクティブな IAM ポリシーの適用を選択します。非アクティブなユーザーをデフォルトで無効にしたくない場合は、無効なアイデンティティにポリシーを適用できます。

• ポリシーに対してこのオプションを有効にすると、無効なアイデンティティの検出結果も作成されます。すべてのポリシーの検出結果の修正手順として、アイデンティティの削除が推奨されます。
• ポリシーに対してこのオプションを無効にすると (デフォルトの動作)、無効なアイデンティティの検出結果は作成されません。すべてのポリシーの検出結果の修正手順として、アイデンティティの削除または無効化が推奨されます。

無効なアイデンティティの検出結果を作成する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。

3. サポートされているポリシーのいずれかに移動します。

4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
   

5. [Disabled Identities] (無効なアイデンティティ) セクションで、関連オプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。組織全体を範囲として選択した場合、このオプションは表示されません。
• [Enabled] (有効) (親レベルの構成をオーバーライドします)。アイデンティティが無効な場合、検出結果が作成されます。
• [Disabled] (無効) (親レベルの構成をオーバーライドします)。アイデンティティが無効な場合、検出結果は作成されません。

6. [Save] (保存) をクリックします。

サポートされているポリシー

次のポリシーでは、無効なアイデンティティの検出結果の作成を有効または無効にできます。

• GCP
• 非アクティブなサービスアカウント
• Google Workspace
• 非アクティブな Google Workspace ユーザー
• Microsoft Entra ID
• 非アクティブな Microsoft Entra ID アプリケーション
• 非アクティブな Microsoft Entra ID ユーザー

招待保留中の Microsoft Entra ID ゲストユーザーの検出結果を作成する

テナントへの招待ステータスが保留中のゲストユーザーについて、検出結果を作成するかどうかを選択します。これにより、非アクティブな Microsoft Entra ID ユーザーから、テナント参加招待をまだ承諾していない Microsoft Entra ID ゲストユーザーを除外できます。

招待保留中のゲストユーザーの検出結果を作成する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。
2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
3. 「非アクティブな Microsoft Entra ID ユーザー」ポリシーに移動します。
4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。

5. [Choose whether or not to create findings when the user is a guest, and his invitation status to a tenant is pending] (ユーザーがゲストでテナントへの招待ステータスが保留中の場合、検出結果を作成するかどうかを選択する) で、該当するオプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。組織全体を範囲として選択した場合、このオプションは表示されません。
• [Enabled] (有効) (親レベルの構成をオーバーライドします)。招待保留中のゲストユーザーの検出結果が作成されます。
• [Disabled] (無効) (親レベルの構成をオーバーライドします)。招待保留中のゲストユーザーの検出結果は作成されません。

6. [Save] (保存) をクリックします。

アクセス許可の使用学習期間を変更する

過剰なアクセス許可と非アクティブなアイデンティティに関する記事のアクセス許可の使用学習期間を変更するを参照してください。

グループから非アクティブなプリンシパルを削除することを推奨する

プリンシパルが非アクティブなときに、過剰な権限の検出結果の修正手順で Tenable がグループからプリンシパルを削除することを推奨するかどうかを選択します。組織の IdP グループが、クラウドアクセス許可の管理以外の目的で使用されている場合 (SaaS アプリケーションや組織構造の管理など)、このオプションを無効にできます。

• 2024 年 8 月 11 日より前に Tenable Cloud Security の使用を開始したお客様の場合、このオプションは「デフォルトで有効」になっています (「サブスクリプションで過剰な権限を持つ Microsoft Entra ID グループ」ポリシーを除く)。
• 2024 年 8 月 11 日以降に Tenable Cloud Security の使用を開始したお客様の場合、このオプションは「デフォルトで無効」になっています。

グループから非アクティブなプリンシパルを削除するように推奨する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。

3. サポートされているポリシーのいずれかに移動します。

4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
   

5. [Remove Inactive Principals from Groups] (非アクティブなプリンシパルをグループから削除する) セクションで、該当するオプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。範囲として組織全体を選択した場合、このオプションは表示されません。
• [Enabled] (有効) (親レベルの構成をオーバーライドします)。 は、ユーザーが非アクティブな場合、検出結果の修正手順でグループからユーザーを削除することを推奨します。
• [Disabled] (無効) (親レベルの構成をオーバーライドします)。 は、ユーザーが非アクティブな場合、検出結果の 修正手順で、グループからユーザーを削除することを推奨しません。

6. [Save] (保存) をクリックします。

サポートされているポリシー

以下のポリシーについては、グループから非アクティブなプリンシパルを削除することを推奨するかどうかを構成できます。

• Azure
• サブスクリプションにおける過剰な権限を持つマネージド ID
• サブスクリプションにおける過剰な権限を持つ Microsoft Entra ID アプリケーション
• サブスクリプションにおける過剰な権限を持つ Microsoft Entra ID グループ
• サブスクリプションにおける過剰な権限を持つ Microsoft Entra ID ユーザー
• GCP
• プロジェクトにおける過剰な権限を持つサービスアカウント
• プロジェクトにおける過剰な権限を持つユーザー

メンバーアカウント root ユーザーの検出結果を作成する

「root ユーザーの MFA が有効になっていない」ポリシーの場合、メンバーアカウント root ユーザーの検出結果を作成するかどうかを選択します。デフォルトでは、このオプションは無効になっており、AWS のベストプラクティス{target=_blank}に従っています。

1. コンソールで、[Policies] (ポリシー) をクリックします。

2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットでポリシーを有効化または無効化します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。

3. root ユーザーの MFA が有効になっていないポリシーに移動します。

4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
   

5. [Member Account Root User] (メンバーアカウント Root ユーザー) セクションで、該当するオプションを選択します。

• [Inherit] (継承)。親レベルのアカウント範囲の構成を継承します (デフォルト)。継承された構成は、親レベル範囲の名前の横の括弧内に表示されます。範囲として組織全体を選択した場合、このオプションは表示されません。
• [Enabled] (有効) (親レベルの構成をオーバーライドします)。 はメンバーアカウント root ユーザーの検出結果を作成します。
• [Disabled] (無効) (親レベルの構成をオーバーライドします)。はメンバーアカウント root ユーザーの検出結果を作成しません。

6. [Save] (保存) をクリックします。

ポリシーからリソースを除外する

デフォルトでは、標準装備のポリシーがポリシーの範囲内にあるすべてのリソースに適用されます。選択したリソースをポリシーから除外することで、これを微調整できます。リソースを除外しても、リソースに関連する検出結果は作成されますが、[Ignored (Exception)] (無視 (例外)) のステータスが割り当てられます。

次の 2 つの方法のいずれかで、リソースを除外できます。

• 除外する特定のリソースを選択します。 たとえば、緊急目的で使用される緊急アクセス用アカウントや、センシティブデータが含まれていないパブリック S3 バケットを除外することができます。この機能は、すべての組み込みポリシーで使用できます。
• 除外パターンを定義します。 定義されたパターンに一致するすべてのリソースが、ポリシーから除外されます。パターンは、リソース名、ARN (AWS の場合)、タグ (キーまたは値) に対して定義できます。たとえば、名前に特定のプレフィックスを含むすべての IAM ロールや、特定のタグを持つすべてのバケットを除外できます。1 つのポリシーに対して複数のパターンの除外を定義できます。

ポリシーからリソースを除外する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。
2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットについてリソースを除外します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
3. 関連するポリシーに移動します。
4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
5. 構成ダイアログで、[Resource Exclusions] (リソースの除外) に移動します。
6. 特定のリソースを除外するか、または除外パターンを定義するかどうかに応じて、該当するタブに移動します。

• 特定のリソースを除外する場合は、左側から除外するリソースを選択し、右矢印ボタンをクリックして除外リソースのリストにそれらを移動します。
  

• 除外パターンを定義する場合は、名前、ARN (AWS の場合)、またはタグのいずれかを選択してから、除外の該当パターンを入力します。パターンでは次のワイルドカード文字を使用できます。
  -アスタリスク* - 0 文字以上と一致
  -クエスチョンマーク? - 1 文字と一致

例: パターン aol-*

7. (オプション) リソースを除外する理由を説明するコメントを追加します。
   

8. [Save] (保存) をクリックします。

ポリシーからシークレットを除外する

検出された誤検出に対処するために、ポリシーからシークレットを除外します。シークレットはキーと値のペアで構成され、どちらかにシークレットが含まれます。除外するパターンを入力します。パターンがシークレットと一致した場合、 はそのシークレットを除外します。たとえば、値パターン https://* を使用した場合、シークレットとして誤検出された URL はすべて除外されます。

このオプションは、「シークレットの公開」に関連するポリシーで利用できます。たとえば、「CloudFormation スタックでシークレットが公開されている」ポリシーなどです。

ポリシーからシークレットを除外する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。
2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットについてリソースを除外します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
3. 関連するポリシーに移動します。
4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
5. 構成ダイアログで、[Secret Exclusions] (シークレットの除外) に移動します。
6. キーパターンと値パターンを入力します。パターンでは次のワイルドカード文字を使用できます。
   -アスタリスク* - 0 文字以上と一致
   -クエスチョンマーク? - 1 文字と一致
7. (オプション) コメントを追加します。
8. 大文字と小文字を区別しない (大文字と小文字を同一の文字として処理する) かどうかを選択します。
9. [Save] (保存) をクリックします。

パブリック Lambda 関数ポリシーから API ゲートウェイパスを除外する

意図した構成を反映するように、API ゲートウェイリソースパスとメソッドを設計上パブリック (パブリックバイデザイン) として定義します。リソースパスパターンと HTTP メソッド (例: Get) を入力します。検出されたパスとメソッドが一致する場合、Tenable はそれらを設計上パブリックとして分類し、関連する検出結果をクローズします。たとえば、Get で「/health」と入力すると、この組み合わせが意図的にパブリックとしてマークされます。

除外は次回のシステムのデータ同期時に更新されます。

API ゲートウェイパスを除外する方法

1. コンソールで、[Policies] (ポリシー) をクリックします。
2. [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットについてリソースを除外します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
3. パブリック Lambda 関数ポリシーに移動します。
4. 三点リーダー アイコンをクリックし、[Edit] (編集) をクリックします。
5. 構成ダイアログで、[API Gateway Path Exclusions] (API ゲートウェイパスの除外) に移動します。
6. パスパターンを入力します。パターンでは次のワイルドカード文字を使用できます。
   -アスタリスク* - 0 文字以上と一致
   -クエスチョンマーク? - 1 文字と一致
7. HTTP メソッドを選択します。
8. (オプション) コメントを追加します。
9. 大文字小文字を区別しない (大文字と小文字を同一の文字として処理する) かどうかを選択します。
   10.[Save] (保存) をクリックします。

ポリシーデータをエクスポートする

CSV ファイルにポリシーデータをエクスポートします。データは、テーブルにその時点で適用されているフィルターに従ってエクスポートされます。データには、ポリシーによってトリガーされる特定の検出結果でフィルタリングされた [Findings] (検出結果) ページの URL など、関連するすべてのポリシーデータが含まれます。

ポリシーデータをエクスポートする方法

1. (オプション) [Organization] (組織) ドロップダウンでアカウントの範囲を選択し、クラウドアカウントの特定のサブセットに関連するポリシーを表示します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
2. テーブルをフィルタリングして、表示するデータの範囲を絞り込みます。詳細については、ポリシーの列データを参照してください。
3. [Policies] (ポリシー) テーブルの右上の [Export] ボタンをクリックします。

Azure で非アクティブなシステムマネージド ID の検出結果を作成する

Azure では、一部のシステムマネージド ID は、たとえ非アクティブであっても削除できません。このような場合でも、Tenable は、これらのアイデンティティについて深刻度レベルが情報で修正手順なしの検出結果を作成します。
削除できるシステムマネージド ID の場合は、修正手順があり、深刻度レベルが高い可能性があります。

削除できるシステムマネージド ID

非アクティブ時に Azure で削除できるシステムマネージド ID は次のとおりです。

AI サービス
API Management サービス
App Configuration
App Service
Automation アカウント
Azure Database for MySQL フレキシブルサーバー
Backup Vault
CDN プロファイル
Container App
Container Instance
Container Registry
CosmosDB アカウント
データ収集ルール
Data Explorer クラスタ
Data Factory V2
Digital Twins インスタンス
Grafana
IoT Hub
Logic App
Maps アカウント
PostgreSQL Database フレキシブルサーバー
Recovery Service Vault
Redis Cache
検索サービス
SignalR サービス
SQL Managed Instance
SQL Server
静的サイト
Virtual Machine
Virtual Machine Scale Set
Web Pub Sub