このページの本文へ

FIXER cloud.config Tech Blog

Azureリソースにポリシーを適用するBlueprints/イニシアティブ/Azure Policyの違い

2020年09月15日 11時00分更新

文● 荒井 隆徳/FIXER

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はFIXERが提供する「cloud.config Tech Blog」に掲載された「ざっくり覚えるAzure Blueprints、イニシアティブ、Azure Policyの関係性とサブスク達」を再編集したものです。

 おばんです。ガリガリ君ラバーズの荒井です。

 社内の若手層からもらったQAを備忘録がてらブログでメモメモ。ざっくり・オブ・ざっくりブログですが、記録残しまーす!

 Azureでガバナンスを効かせる時は、Blueprints、イニシアティブ、Azure Policyを使おう!

どんなことができるの?

 準拠していないリソースを処理するためのビジネス ルールは、組織によって大きく異なります。 たとえば、組織がプラットフォームで準拠していないリソースに対応する方法には、以下のようなものがあります。

 ・リソースの変更を拒否する
 ・リソースへの変更をログに記録する
 ・変更前にリソースを変更する
 ・変更後にリソースを変更する
 ・準拠している関連リソースをデプロイする

引用元:Azure Policy とは

簡単に言うと?

 Azureリソースをデプロイする時に、デプロイ対象のリソースプロパティ(属性)に着目して、ルール違反(*)があれば明示的にデプロイを否認するシステムです。

 これを活用すれば、ルール違反しているAzureリソースが世界に生まれ落ちないことになります。

 (*)作成しちゃいけないインスタンスサイズを指定しているとか

Blueprints?イニシアティブ?Azure Policy?色々あってよくわからない。

 ざっくり表すと以下の図のような関係です。最小単位はAzurePolicy一つから構成できますが、ガバナンスを効かせる範囲が増えると管理がメンディです。イニシアティブ、Blueprintsでグループ化し最適化しましょう。

 Blueprints1:イニシアティブ N、イニシアティブ1:AzurePolicy Nみたいな関係です。定義したポリシー(Blueprints、イニシアティブ、AzurePolicy)は、リソースグループ、サブスクリプション、管理グループなどに適用できます。適用の組み合わせは以下をご覧くださいませー。うまいこと管理して運用負荷を減らしましょうー。

備忘:ざっくりまとめてみた(誤差あったらメンゴ…)

 いかがでしょうか!?

 ざっくり理解できましたら幸いです。

 もっと詳細が知りたい人は、試しに作ってみましょう!それが一番近道です。

 クイック スタート:ポータル内でブループリントを定義して割り当てる

 以上、「ざっくり覚えるAzure Blueprints、イニシアティブ、Azure Policyの関係性とサブスク達」ブログでした!

 最後までお読みいただき、ありがとうございました!

  荒井 隆徳/FIXER

 (あらい たかのり)
 Senior Solutions Specialist / Azure Training instructor

 昨日の自分よりも今日の自分、そして今日の自分よりも明日の自分が成長しているように日々FIXERでチャレンジさせていただいてます!日々前進!!

[転載元]
 ざっくり覚えるAzure Blueprints、イニシアティブ、Azure Policyの関係性とサブスク達

カテゴリートップへ