Azure Policyでリソースの作成場所を制限する。

はじめに

Azure Policyでは様々なポリシーを設定できます。その中で、一番メジャーな例としてリソースの作成場所の制限があります。

これをポータルから設定してい見たいと思います。

: 組み込みのポリシー定義の一覧 - Azure Policy | Microsoft Learn

Azure Policy の組み込みのポリシー定義を一覧表示します。カテゴリには、タグ、規制コンプライアンス、Key Vault、Kubernetes、Azure マシンの構成などが含まれます。

docs.microsoft.com

ポリシーを開くと、ASC（Azure Security Center） Defaultが定義されておりサブスクリプション全体に対する状況が確認できます。適当に検証しているとこんな感じです。

ポリシーを開きます。そして割り当てを行います。

スコープを設定します。今回はリソースグループを指定しています。

割り当てるポリシーを探します。

日本語の場合は「場所」で検索すると許可されている場所というポリシーがあります。日本語はわかりにくい場合があります。その場合はポータルの設定を英語に変更するとよいと思います。

許可されている場所をチェックします。Japan Eastに設定しています。

修復は設定しません。

準拠しなかった場合のメッセージを設定します。これは任意です。

ポリシーを作成、適用します。

確認のためJapan East以外に仮想マシンを作成してみます。

警告がでます。

最後の検証に失敗します。

詳細を表示することができます。

適用されたポリシーと非準拠に設定したメッセージが表示されます。

Azure Policyを設定することで、サブスクリプション、リソースグループ単位でコンプライアンスを評価することが出来ます。組み込まれているポリシーも豊富であることに加えてカスタムで作成できるので、自社にあったポリシーを設定できると思います。