Azure Policyでコンプライアンスを強制する

タグをはじめに

Azure Policyではコンプライアンスを強制することが出来ます。チュートリアルをもとに確認していきます。

docs.microsoft.com

チュートリアル:コンプライアンスを強制するポリシーを作成する - Azure Policy

https://docs.microsoft.com/ja-jp/azure/governance/policy/tutorials/create-and-manage

このチュートリアルでは、標準の強制、コストの制御、セキュリティの維持、および企業全体の設計原則の適用を行うポリシーを使用します。

コンプライアンスの強制

コンプライアンスと言っても、チュートリアルではタグの継承を行う方法を解説しています。

ポリシーの作成については下記を参考にしてください。

技術的な何か。

Azure Policyでリソースの作成場所を制限する。

🕒️2022年5月30日

はじめにAzure Policyでは様々なポリシーを設定できます。その中で、一番メジャーな例としてリソースの作成場所の制限があります。これをポータルから設定してい見たいと思います。ポリシー作成ポリシーを開くと、ASC（Azure Security Center） Defaultが定義されておりサブスクリプション全体に対する状況が確認できます。適当に検証しているとこんな感じです。ポリシーを開きます。そして割り当てを行います。スコープを設定します。今回はリソースグループを指定しています。割り当てるポリシーを探します。日本語の場合は「場所」...

作成場所を制限する方法をポリシーとして設定しました。

タグを継承するポリシーを作成します。日本語では「存在しない場合は、サブスクリプションからタグを継承する」になります。

この場合、存在しない場合なので設定されている場合、上書きされることはありません。

継承するタグを設定します。「Environment」と設定しています。

次に修復の設定です。

「修復タスクを作成する」にはチェックを入れません。チェックを入れることで既存のリソースを修復します。

マネージドIDを作成します。割り当ての場所は今回は任意です。アクセス許可はポリシーによって自動的に設定されます。

あとはポリシー作成します。

確認

サブスクリプションからタグが継承されるか確認していきます。

サブスクリプションにタグを割り当てます。EnvironmentとRegionを設定しています。ポリシーではEnvironmentを指定しているのでRegionは継承されないはずです。

仮想マシンを起動してポリシーによりタグが継承されているか確認します。

Environmentが継承されていることが分かります。Regionは継承されていません。

以上でポリシーの確認が行えました。

まとめ

コンプライアンスを強制するにはポリシーで行います。強制することで、セキュリティ、構成を一定に保つことも可能です。これらを利用して運用者の負担を減らしてください。