Qrunchからお引越しした記事です : created_at: 2019-07-03 22:35:48 +0900

スキルの評価対応

Azure サブスクリプションおよびリソースを管理する。
タグでできることはなんとなくわかるので、使ったことの無いAzure Policyを勉強。

Azure Policyとは

・Azureの利用者にできることを制限する統制の仕組み。
・RBACによる権限制御はあくまでリソースへのアクセスレベルの話だが、Policyはもっと細かい制御ができる。
　⇒たとえば、「タグ付けのルール」、「LinuxのVMはデプロイさせない」、「Win2008R2は使わせない」などなど。
・制御する以外にも、ルールが守られているかのチェックにも使える。
　⇒「ルール」に大して「守られているかチェックする」、「ルールを強制する」などのレベルが選べる。

定義と割り当て

・イニシアチブ定義とポリシー定義がある。
・ポリシー定義は１つのルール。イニシアチブ定義はポリシー定義を束ねたもの。グループみたいなものか。
・割り当てのスコープも指定できる。
　⇒リソースグループ単位や、サブスクリプション単位、管理グループ（サブスクリプションの集まり）単位、など。
・割り当てたスコープについて、ある特定リソースやリソースグループは除外することができる。

ポリシーの作り方

・デフォルトで使えるビルトインの定義がある。
・ビルトインの定義でやりたいことができない場合は自分で定義を作成する。
・定義はJSON形式で記述。
・GitHubに色々ポリシーが公開されている。
・定めたルールが守られない場合に実施される効果を次の中から選べる。

Deny はアクティビティ ログでイベントを生成し、要求は失敗します
Audit: アクティビティ ログ内に警告イベントを生成しますが、要求は失敗しません。
append は定義済みのフィールド セットを要求に追加します。
AuditIfNotExists: リソースが存在しない場合に監査を有効にします。
DeployIfNotExists: リソースが存在しない場合にリソースをデプロイします。
Disabled: リソースがポリシー規則に準拠しているかどうかを評価しません。

引用元

実践

デプロイしたリソースにタグ付けをするPolicyを作ってみる。

・ビルトインポリシー「タグとその既定値の追加」の割り当てを実行。
　リソースグループに対して割り当て。
・タグ「env:test」を付与するように設定。
・VNetをデプロイ。
・デプロイされたVNetにタグ「env:test」が付与されていることを確認。

所感

・タグの強制は便利。タグでのコスト管理を実施する際に活かしたい。
・大きい組織でAzureの利用者が沢山いるときにはとても有用そうな機能。