ある企業がコスト管理のために、すべての Azure リソースに「Project」と「Owner」の 2 つのタグを必須とするルールを設けた。新規リソース作成時にこれらのタグがない場合は作成をブロックし、タグがある場合のみ許可したい。また既存のタグなしリソースは次のメンテナンスウィンドウで修正予定のため、今すぐブロックはしたくない。最も適切な Azure Policy 構成はどれか。
- A. 「Project」と「Owner」それぞれに Deny 効果のポリシーを作成し、既存リソースは除外(Exclusion)に追加する
- B. 「Project」と「Owner」それぞれに Deny 効果のポリシーを作成し、既存リソースが含まれるリソースグループを除外スコープに指定する
- C. 「Project」と「Owner」それぞれに Deny 効果のポリシーを作成してイニシアチブにまとめ、新規作成のみを対象としたタイムスタンプ条件を追加する
- D. 「Project」と「Owner」それぞれに Audit 効果のポリシーを作成し、既存・新規ともに非準拠を記録する
解答と解説を見る
正解: B
Azure Policy の割り当て時に「除外(Exclusions)」としてスコープを指定すると、そのスコープ内のリソースはポリシー評価対象から外れる。既存のタグなしリソースが特定のリソースグループに格納されているなら、そのリソースグループを除外スコープに指定することで「既存はブロックしない、新規リソースグループでの作成はブロック」という要件を満たせる。選択肢Aも同じく除外を使う方法だが「既存リソースを 1 件ずつ Exclusion に追加する」と読めるため、リソースグループを単位に除外する選択肢Bの方が管理効率が高い。選択肢DのAudit は記録するだけで新規作成をブロックできないため、「作成をブロックしたい」要件を満たさない。選択肢Cはタイムスタンプ条件によるフィルターは Azure Policy 標準では実装が難しく、推奨されない設計である。