ある会社の Azure 環境で、管理グループ「MG-Root」にイニシアチブ A を割り当て、その中に 5 つのポリシーが含まれている。子サブスクリプション「Sub-Dev」ではそのうち 1 つのポリシー P3 をテスト中であり、現時点では P3 の効果を適用せず評価のみ行いたい。他のポリシー P1・P2・P4・P5 は通常通り Deny で動作させる必要がある。最も適切な方法はどれか。
- A. Sub-Dev に対してイニシアチブ A 全体の割り当てを除外し、P1・P2・P4・P5 のみを個別に割り当てる
- B. イニシアチブ A を Sub-Dev スコープで再割り当てし、P3 のパラメーターで effect を "Audit" に上書きする
- C. P3 ポリシー定義を編集して effect を "Disabled" に変更する
- D. P3 に対して Azure Policy Exemption(免除)を Sub-Dev スコープで作成する
解答と解説を見る
正解: B
イニシアチブ定義のポリシーに effect をパラメーター化している場合、イニシアチブ割り当て時に各ポリシーの effect を個別に上書き指定できる。Sub-Dev スコープで同じイニシアチブを割り当て直す際に P3 の effect パラメーターを "Audit" に設定すれば、P3 は評価(監査)のみで拒否は行われず、他のポリシーは既定の Deny のまま動作する。選択肢Aはイニシアチブの利点(一括管理)を捨てて個別割り当てにするため、将来のポリシー追加・変更の管理が複雑になる。選択肢Cはポリシー定義自体を変更すると MG-Root 以下のすべてのスコープに影響し、テスト環境だけに限定できない。選択肢DのExemption は Waiver(監査しないで済む)か Mitigated(別の手段で準拠済み)として免除するもので、「評価のみ行いたい」という要件とは異なる(Exemption は評価もスキップする)。