ある企業がAzureのITガバナンスを強化するため、リソースの標準化・コンプライアンス確保・承認済み設定のみを使用することを自動化したい。「新しいサブスクリプションを作成するたびに、標準のRBACロール割り当て・標準ポリシーセット・ARMテンプレートによる基本インフラ(VNet・ストレージ)を自動的に適用する」という要件に対して最も適切なAzureサービスはどれか。
- A. Azure Blueprints:ポリシー・RBAC・ARMテンプレート・リソースグループを1つのBlueprintとしてパッケージ化し、新規サブスクリプションへ自動・一括適用する
- B. Azure Cloud Shellを使ってスクリプトを手動実行する
- C. Azure Policyを個別に適用する
- D. Azure Resource Manager(ARM)テンプレートを手動でデプロイする
解答と解説を見る
正解: A
Azure Blueprintsは「ガバナンスの設計図」として、ポリシー・RBACロール割り当て・ARMテンプレート(リソースのデプロイ定義)・リソースグループの作成をひとまとめのパッケージとして定義し、管理グループやサブスクリプションに一括割り当てできるサービスである。新規サブスクリプション作成時にBlueprintを割り当てることで標準的なガバナンス設定を自動適用できる。また、Blueprintは割り当てと成果物の追跡関係を維持するため、ドリフト検出にも使える。選択肢DのARMテンプレートを手動でデプロイする方法は再現性はあるが、ポリシー・RBACの一括適用・追跡機能がBlueprintsほど充実しない。選択肢CAzure Policyの個別適用は可能だが、ARMテンプレートやRBACとのパッケージ化・自動適用にはBlueprintsが必要。選択肢BのCloud Shellのスクリプト手動実行は自動化ではなく人的作業が介在する。
📚 関連サービスの解説: Azure RBAC