AZ-900Azureの管理とガバナンスMEDIUM単一選択

ある企業のセキュリティチームが、すべてのAzure VMに特定のタグ(例:CostCenter・Environment)を必須付与するルールと、特定のリージョン以外へのリソースデプロイを禁止するルールを自動的に適用したい。最も適切なAzureの機能はどれか。

  1. A. Azure Blueprints:ガバナンスコンポーネントをパッケージ化して環境にデプロイする
  2. B. Azure リソースロック:リソースの削除・変更を防ぐロック機能
  3. C. Azure Policy:リソースのプロパティを評価し、コンプライアンスを強制するガバナンスサービス
  4. D. Azure RBACのカスタムロール:特定の操作権限を持つロールを作成する
解答と解説を見る

正解: C

Azure PolicyはAzureリソースに対してルール(ポリシー定義)を作成・割り当てし、コンプライアンスを強制または監査する機能である。「タグが存在しない場合はリソース作成を拒否」や「特定リージョン以外へのデプロイを禁止」などの組み込みポリシーおよびカスタムポリシーを、管理グループ・サブスクリプション・リソースグループのスコープに割り当てられる。選択肢DのRBACカスタムロールはユーザーが実行できる操作(アクション)を制御するが、リソースのプロパティ(タグの有無・デプロイ先リージョン)を評価して強制する機能はAzure Policyが担当する。選択肢AのAzure Blueprintsはポリシー・RBAC・ARMテンプレートをまとめて環境に適用するオーケストレーションサービスで、内部でAzure Policyを使うが、単体のポリシー強制としてはAzure Policyが直接的な答え。選択肢BのリソースロックはReadOnlyやDeleteロックで特定リソースの変更・削除を防ぐ機能であり、タグ強制やリージョン制限には使用しない。

📚 関連サービスの解説: Azure Policy
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題