ある企業がAzureのサブスクリプション内のリソースに対して「特定のリージョン以外へのデプロイを禁止するポリシー」を適用したが、既存のリソースでポリシーに違反しているものがある場合、Azure Policyはどのように対処するか。
- A. ポリシーに違反する既存リソースはコンプライアンス違反として報告されるが、自動的には変更・削除されない。新規デプロイのみがポリシーの効果(拒否)の対象となる
- B. ポリシーを適用した瞬間から既存リソースも含めてすべてのリソースが即座に準拠状態になる
- C. ポリシーに違反する既存リソースは自動的に準拠リージョンに移動される
- D. ポリシーに違反する既存リソースは自動的に削除される
解答と解説を見る
正解: A
Azure Policyの「Deny(拒否)」効果は、ポリシー割り当て以降に新規作成または更新されるリソースに対して適用される。既存のリソースがポリシーに違反している場合、それらは「非準拠(Non-compliant)」としてコンプライアンスダッシュボードに報告されるが、既存リソースが自動的に変更・削除・移動されることはない。「DeployIfNotExists」や「Modify」効果を使えば既存リソースへの自動修正も可能だが、それは別のポリシー定義と明示的な修正タスクが必要。選択肢Dの自動削除は行われないため誤り。選択肢Cの自動リージョン移動も行われない(Modifyポリシーでタグ追加などは可能だが、リージョン変更は不可)。選択肢Bのポリシー適用後即時準拠は誤りで、既存リソースのコンプライアンス評価は定期的(24時間以内)に実行される。