Azure Policy でイニシアティブを定義してポリシーをグルーピングする

はじめに

Azure Policyにはイニシアティブという機能があります。なにか難しいそうな機能のような名前ですが、ポリシーをグルーピングする機能です。

数十のポリシーを数十のリソースグループ単位で適用する必要がある場合、１つずつ適用していたら管理が面倒ですね。

そんな時に利用できる機能です。

docs.microsoft.com

イニシアチブ定義の構造の詳細 - Azure Policy

https://docs.microsoft.com/ja-jp/azure/governance/policy/concepts/initiative-definition-structure

ポリシー イニシアチブ定義を使用し、組織の Azure リソースのデプロイのポリシー定義をグループ化する方法について説明します。

イニシアティブ定義

定義から、上部のイニシアティブ定義を開きます。

名前を追加します。カテゴリやバージョンはオプションです。

グルーピングするポリシーを選択します。

今回は以前確認したポリシーを2つ選択しています。

技術的な何か。

Azure Policy で修復タスクを実行する

🕒️2022年6月1日

はじめにAzure Policyでは既存のリソースに対して、コンプライアンスを強制（修復）することが可能です。前回作成たポリシーを利用して修復タスクを実行していきます。事前準備事前準備として、ポリシーを無効化して仮想マシンを事前に作成しておきます。タグはつけません。修復タスクの作成ポリシーの設定を編集します。修復タスクを作成するにチェックをいれます。保存後に確認すると修復タスクが保存されます。修復を確認すると詳細を確認できます。修復確認時間をおいて修復状態が完了になるのを待ちます。仮想マシンのタグを確認...

グループ、イニシアティブパラメーターは設定しません。

ポリシーパラメーターを設定します。引き継ぐ環境変数と許可されている場所です。

あとは作成します。

イニシアティブの割り当て

割り当ての上部からイニシアティブの割り当てを開きます。

スコープを選択し、割り当てるイニシアティブ定義を選択します。作成したイニシアティブ定義です。

パラメーター、修復はそのままです。マネージドIDの作成場所は任意です。

非準拠メッセージを設定します。規定のメッセージに加えてポリシー毎に設定することが可能です。

以上で割り当てを行います。

確認

適用したリソースグループに仮想マシンを作成します。

指定した場所以外を選択するとポリシーの警告が出てきます。

サブスクリプションに設定されているタグ（事前に設定）も継承されることが確認できます。

問題なく、ポリシーを適用出来ていることが分かります。

まとめ

Azure  policyのイニシアティブ定義は部署単位やユーザー単位など様々なポリシーをグルーピングするのに役立ちます。効率よく管理するために利用しましょう。