👻
Azure Policyによるユーザー操作の制限管理方法<第1弾>
1. Azure Policyによるユーザー操作の制限管理方法
1.1. はじめに
Microsoft Azureは頻繁にアップデートされ、新サービスや機能追加、あるいはサービスや機能の終了といったサイクルが行われているため、この設定手順は作成した時点で提供されているサービスや機能を使用した、最適と考えられるAzure ガバナンスサービスを検討した内容となっております。
1.2. Azure Policy操作手順概要
Azure Policy は、Azure 内のリソースのプロパティをビジネス ルールと比較して、それらのリソースを評価します。JSON 形式で記述されるこれらのビジネス ルールは、ポリシー定義と呼ばれます。
管理を容易にするために、複数のビジネス ルールをグループ化して、ポリシーイニシアチブ (policySet とも呼ばれます) を作成できます。
ビジネス ルールを作成すると、ポリシーの定義またはイニシアチブは、Azure でサポートされているリソース (管理グループ、サブスクリプション、リソース グループ、個々のリソースなど) の任意のスコープに割り当てられます。割り当ては、その割り当ての Resource Manager スコープ内のすべてのリソースに適用されます。
この設定によって組織の標準を適用し、コンプライアンスを大規模に評価することが可能となります。
1.3. Azure Policy操作手順の前提条件
本手順を実施するにあたって、リソースグループの作成・操作に必要なアクセス許可などが必要になります。
下記の前提条件を満たした上で、以下手順は実施してください。
| No | 項目 | 前提条件 |
|---|---|---|
| 1 | リソースグループ/リソース | 本手順でAzureポリシーを割り当てるため、任意で作成してください |
| 2 | 割り当てロール | 所有者権限。 ※共同作成者はリソースの修復をトリガーできますが、定義や割り当てを "作成" または "更新" することはできません。 ※deployIfNotExists や modify 割り当てのマネージド ID に対して必要なアクセス許可を与えるには、ユーザーアクセス管理者が必要です。 |
2. Azure Policyでビルドインのポリシー割り当てを行う手順
Azureポータルでビルドインのポリシー割り当てを行う手順は、以下になります。
※ ビルトインポリシー:Azure に予め用意されているAzureポリシー
| No | 操作 | 画面 |
|---|---|---|
| 1 |
ポリシーの割り当て Azure Portalのホーム画面[検索]より[ポリシー]と入力後、サービス上で表示された[ポリシー]をクリックする |
 |
| 2 | 左ペインより[割り当て]をクリックする |  |
| 3 | [ポリシーの割り当て]をクリックする |  |
| 4 | ポリシーの割り当て画面が表示されるので、右画面を参考に[基本]タブの入力を行う 入力後、下部に表示されている[次へ]をクリックする ※今回選択しているポリシー定義は「許可されている仮想マシン サイズ SKU」となります。 |
 |
| 5 | [パラメータ]タブ画面より、パラメータの入力が必要な場合は入力を行う 入力後、下部に表示されている[次へ]をクリックする ※パラメータの入力が不要なポリシーもあります。 ※右記では「Standard_A2_v2」以外のVMサイズを許可しております。 |
 |
| 6 | [修復]タブ画面より、既定値で下部に表示されている[次へ]をクリックする ※修復タスク設定を有効にすると、マネージドIDが作成され、既存リソースに対して、ポリシーが割り当てられた後に修復タスクを使用して更新が可能となります。 ※deployIfNotExists、modify の効果を持つポリシーはマネージド ID が必要になるため、本設定の有効化が必要となります。 |
 |
| 7 | [非準拠メッセージ]タブ画面より、任意で値を入力し、 [次へ]をクリックする |  |
| 8 | [確認および作成]タブ画面より、設定項目の確認を行い、[作成]をクリックする |  |
| 9 | 通知欄にポリシー作成の表示がされることを確認する |  |
| 10 |
動作確認 適用したポリシーの動作確認を行う ※右記は上記手順で適用した許可されていないVMサイズでVM作成出来ないことを確認しています。 |
 |
3. まとめ
次回はAzure Policyでカスタムポリシーを作成して割り当てを行う設定手順を紹介します。
Discussion