やりたいこと

Azure Policyを実際に使ってみる。
診断設定を持たないAzure Key Vault が作成された場合に、診断設定をデプロイするAzure Policyをリソースグループに対して割り当て、その動作を確認する。

前提

• リソースグループ（ポリシーを割り当てる）が存在するAzureにログインしている状態であること
• Log Analytics ワークスペースが作成済みであること

手順

1. 以下の組み込みポリシーの一覧から該当のポリシーを押下する。このときポリシーを割り当てるリソースグループが存在するAzureにログインしている状態であること。（Azureポータルが開かれるため）
   組み込みポリシー一覧
   

2. 「割り当てる」を押下する。
   

3. スコープを設定し、次へ進む。
   

4. 作成済みのLog Analytics ワークスペースを選択し、次へ進む。
   

5. システム割り当てIDの場所を「Japan East」に設定し、マネージドIDを作成する。
   

6. 必要に応じて設定を変更し、「作成」を押下する。
   

7. Azure Policyを割り当てたリソースグループにKey Vaultを作成する。
   

8. 作成したKey Vaultに移動し、左サイドバーから「診断設定」を押下する。
   

9. 「最新の情報に更新」を押下する。診断設定が追加される。
   

Azure Policyによって作成された診断設定は以下のような感じ。

まとめ

Azure Policyを使って診断設定をデプロイしました。「最新の情報に更新」ボタンを押下する必要がありましたが問題なくAzure Policyが機能していました。
事前に必要なAzure Policyをサブスクリプションやリソースグループに割り当てれば設定漏れやミスを防げるのかなと思います。特にリソース数が多い大規模なプロジェクトは割り当てる手間に見合った働きをしてくれるのではないでしょうか。
診断設定のデプロイ以外にも有効活用できそうな組み込みポリシーがないか検証しながら探していきたいと思います。