ある企業が Azure Policy を使い、すべてのリソースに対して「Environment」タグが必須という規則をサブスクリプションスコープで割り当てた。効果(effect)として「Deny」を選択した。既存の「Environment」タグなしリソースについてはどのような挙動になるか。最も正確な説明はどれか。
- A. ポリシー割り当て直後に既存のタグなしリソースは自動削除される
- B. 既存リソースは即座に非準拠(Non-compliant)としてマークされるが、Deny は新規作成に対してのみ機能する
- C. ポリシー割り当て後の新規リソース作成・更新時にタグなしは拒否されるが、既存リソースは影響を受けない
- D. Deny ポリシーは既存・新規の両方に遡及適用されるため、既存リソースは即座に削除される
解答と解説を見る
正解: B
Azure Policy の Deny 効果はコントロールプレーン(ARM への PUT/PATCH リクエスト)時点でリクエストを拒否するものであり、既存リソースを遡及的に削除・変更する機能はない。既存のタグなしリソースはポリシー割り当て後に「非準拠(Non-compliant)」としてマークされ、コンプライアンスダッシュボードに表示されるが、リソース自体はそのまま存在し続ける。新規リソースの作成や既存リソースの更新(タグを追加しないまま)は拒否される。選択肢Aと選択肢Dは誤りで、Azure Policy には既存リソースを自動削除する機能はない。選択肢Cは既存リソースが「影響を受けない」という表現が不完全で、非準拠としてマークはされるが削除・変更はされないという選択肢Bの説明が正確。