Azure Policyとは
Azure Policyは、組織の標準をAzureリソースに大規模に適用し、コンプライアンス状態を評価・追跡するサービスだ。ポリシー定義(JSON形式のルール)をリソースのスコープに割り当て、リソースがルールに準拠しているかどうかを継続的に評価する。準拠していないリソースに対しては監査・拒否・修復などの効果(Effect)を適用できる。
複数のポリシー定義をまとめたものがイニシアチブ(Initiative)だ。たとえば「セキュリティ基準の強制」といったイニシアチブを作成し、関連する複数のポリシーを一括管理・割り当てできる。Azure Policyはリソースの作成・更新時だけでなく、24時間ごとの定期評価でも実行される。
試験での問われ方
試験でよく問われるのはEffectの種類と動作の違いだ。Denyはリソース作成・変更をブロックし、Auditは準拠していなくても記録するだけで止めない。DeployIfNotExistsは条件が満たされたときに追加のリソースをデプロイし、ModifyはリソースのプロパティやタグをPolicyが変更する。Denyの前にAuditで実態把握するのが推奨される運用手順でもあり、ここも問われる。
このサービスが登場する演習問題(7問)
- 【AZ-900】ある企業のCIOが「クラウドシステムのガバナビリティ(Governance)」について語っている。Azureにおいてガバ…
- 【AZ-900】ある企業のセキュリティチームが、すべてのAzure VMに特定のタグ(例:CostCenter・Environment)…
- 【AZ-900】ある企業がAzureのガバナンスを強化しようとしている。Azureの管理階層においてポリシーとRBACの継承が適用される…
- 【AZ-900】ある企業がAzureでGDPR(一般データ保護規則)に準拠するために、EU顧客の個人データを必ずEUリージョン内に保存す…
- 【AZ-104】ある企業が複数のリソースグループと Azure Policy を使ってリソースにタグを管理している。親のリソースグループ…
- 【AZ-104】ある企業が Azure で 3 つの事業部門をそれぞれ独立したサブスクリプションで管理している。全サブスクリプションに統…
- 【AZ-104】ある企業が複数のサブスクリプションにまたがるリソースを管理するために管理グループ階層を設計している。管理グループに関する…