Azure Resource Policy の一般提供開始を発表

  • Article

執筆者: Mike Chen (Program Manager, Azure Resource Manager)

このポストは、4 月 15 日に投稿された Announcing Azure Resource Policy general availability の翻訳です。

 

ビジネスにおけるクラウドの利用が広がるにつれて、企業では自社のリソース構成を正しく制御し、独自のポリシーやガバナンス要件に的確に対応することがますます不可欠になっています。

マイクロソフトはこのたび、Azure Resource Manager を基盤とした Azure Resource Policy の一般提供開始を発表しました。

Azure サービスや対応地域での使用を許可するリソースの構成は、ポリシー ドキュメントで統括されますが、このポリシー ドキュメントの定義を Resource Policy で行うことができます。今回のリリースでは、お客様からのご意見に基づいてさらに複数の新機能を追加し、次のような機能強化を実施しました。

リソース SKU の制御

AzureCon の後、Azure Resource Policy はタグやリソース名、サービスの種類、場所といったさまざまなファセットに対応しました。また、このイベントでは企業の IT 管理者の方から、セキュリティ確保やコスト管理のために仮想マシン イメージと SKU を制限できるようにしてほしいという声も寄せられていたため、これに対応しました。

以下のコード サンプルは、仮想マシン SKU を Standard_A0 と Standard_A1 のみに制限する場合の例です。

 {
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      {
        "not": {
          "field": "Microsoft.Compute/virtualMachines/sku.name",
          "in": [ "Standard_A0", "Standard_A1" ]
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

SKU の制御はさまざまな種類のリソースで行うことができます。詳細についてはこちらのページを参照してください。

VM イメージの制御

SKU と同じく、VM イメージの使用を制御するポリシーも実装することができます。Azure VM イメージの指定には、発行元、プラン、SKU、バージョンを使用します。

以下のコード サンプルは、使用を許可する VM の発行元を制御し、プロビジョニングを許可する VM イメージを Canonical が発行するもののみに制限する場合の例です。

 {
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      {
        "not": {
          "field": "Microsoft.Compute/virtualMachines/imagePublisher",
          "equals" : "Canonical"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

既定のタグやプロパティの強制適用

プロビジョニング プロセスで Azure リソースに特定のタグやプロパティを追加するように構成することもできます。たとえば、“costCenter” タグが指定されていない場合、以下のポリシーによって、事前定義された値のタグが追加されます。

  

 

 

{
    "if": {
       "field": "tags",
       "exists": "false"
     },
     "then": {
         "effect": "append",
         "details": [
             {
                "field": "tags",
                "value": { "costCenter": "myDepartment" }
              }
           ]
     }
}

ポリシー評価イベントのアラート

 

ポリシー違反が発生した場合にトリガーされるアラート ルールを定義することもできます。アラートはメールや Webhook の呼び出しによって通知されます。以下に示す PowerShell のコードは、ポリシーによってユーザー操作が拒否された場合にトリガーされるアラート ルールを定義するものです。

 $action = New-AzureRmAlertRuleWebhook -ServiceUri "your web hook url"

Add-AzureRmLogAlertRule -Name <alertrulename> -Location <location> -ResourceGroup <resourcegroupName> -OperationName Microsoft.Authorization/policies/deny/action -TargetResourceGroup <resourcegrouptomonitor> -Actions $action

ポリシー違反発生時のアラート ルールの詳細については、//Build の Ryan Jones のセッション (英語) を参照してください。

マイクロソフトでは皆様からのフィードバックをお待ちしています。Resource Policy についてさらに詳しく知りたい方は、こちらのドキュメントビデオ (英語) をご覧ください。