チュートリアル:準拠していないリソースを識別するためのポリシー割り当てを作成する
Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 Azure Policy では、ゲスト構成ポリシーを使用した、Azure Arc 対応サーバーの状態の監査がサポートされています。 Azure Policy のゲスト構成定義により、マシン内の設定を監査または適用できます。
このチュートリアルでは、Windows または Linux 用の Log Analytics エージェントがインストールされていない Azure Arc 対応サーバーを特定するためのポリシーを作成して割り当てる手順について説明します。 それらは、ポリシーの割り当てに "準拠していない" マシンと見なされます。
このチュートリアルでは、次の内容を学習します。
- ポリシーの割り当てを作成してその定義を割り当てる
- 新しいポリシーに準拠していないリソースを特定する
- 準拠していないリソースからポリシーを削除する
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ポリシー割り当てを作成する
以下の手順に従ってポリシー割り当てを作成し、"[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" というポリシー定義を割り当てます。
Azure portal で [すべてのサービス] を選択し、「Policy」を検索して選択することで、Azure Policy サービスを起動します。
![ポリシー サービスの検索を示す [すべてのサービス] ウィンドウのスクリーンショット。](media/tutorial-assign-policy-portal/all-services-page.png)
Azure Policy ページの左側にある [割り当て] を選択します。 割り当ては、特定のスコープ内で実行するように割り当てられたポリシーです。
![ポリシーの割り当てを示す [すべてのサービス] の [ポリシー] ウィンドウのスクリーンショット。](media/tutorial-assign-policy-portal/assignments-tab.png)
[ポリシー - 割り当て] ページの上部で [ポリシーの割り当て] を選択します。
[ポリシーの割り当て] ページで、 [スコープ] を選択します。その際、省略記号をクリックし、管理グループまたはサブスクリプションを選択します。 任意でリソース グループを選択します。 スコープによって、ポリシー割り当てを強制するリソースまたはリソースのグループが決まります。 次に、[スコープ] ページの下部にある [選択] をクリックします。
この例では、Parnell Aerospace サブスクリプションを使用しています。 お客様によってサブスクリプションは異なります。
リソースはスコープに基づいて除外できます。 除外はスコープのレベルよりも 1 つ下のレベルで開始されます。 除外は省略可能です。ここでは空のまま残してください。
[ポリシー定義] の省略記号を選択して、使用可能な定義の一覧を開きます。 Azure Policy に組み込まれているポリシー定義を使用できます。 次のようなさまざまな定義を利用できます。
- タグとその値を強制
- タグとその値を適用
- タグが存在しない場合は、リソース グループからタグを継承する
使用できる組み込みポリシーの部分的な一覧については、Azure Policy サンプルに関する記事をご覧ください。
Windows ベースのマシンで Azure Connected Machine エージェントを有効にしている場合、ポリシー定義の一覧から、"[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" という定義を見つけます。 Linux ベースのマシンの場合、対応するポリシー定義 "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を見つけます。 そのポリシーをクリックし、[追加] をクリックしてください。
[割り当て名] には選択したポリシー名が自動的に入力されますが、この名前は変更できます。 この例では、ポリシー名はそのままにし、ページの残りのオプションは変更しないでください。
この例では、他のタブの設定を変更する必要はありません。 [確認と作成] を選択して新しいポリシーの割り当てを確認し、[作成] を選択します。
以上の手順で、準拠していないリソースを特定し、環境のコンプライアンスの状態を理解できるようになりました。
準拠していないリソースを特定する
ページの左側にある [コンプライアンス] を選択します。 次に、作成したポリシーの割り当て "[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" または "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を探します。
![選択されたスコープのポリシーのコンプライアンスを示す [ポリシーのコンプライアンス] ページのスクリーンショット。](media/tutorial-assign-policy-portal/compliance-policy.png)
この新しい割り当てに準拠していない既存のリソースがある場合、 [準拠していないリソース] の下に表示されます。
既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。
| リソースの状態 | 効果 | ポリシーの評価 | コンプライアンスの状態 |
|---|---|---|---|
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | True | 準拠していない |
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | False | 対応 |
| 新規 | Audit、AuditIfNotExist* | True | 準拠していない |
| 新規 | Audit、AuditIfNotExist* | False | 対応 |
* Append、DeployIfNotExist、AuditIfNotExist の各効果では、IF ステートメントが TRUE である必要があります。 また、非準拠となるには、既存の条件が FALSE である必要があります。 TRUE のとき、IF 条件は関連するリソースの既存の条件の評価をトリガーします。
リソースをクリーンアップする
作成した割り当てを削除するには、次の手順のようにします。
[Azure Policy] ページの左側にある [コンプライアンス] (または [割り当て]) を選択し、作成したポリシーの割り当て "[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" または "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を探します。
ポリシーの割り当てを右クリックし、 [割り当ての削除] を選択します。
次の手順
このチュートリアルでは、ポリシー定義をスコープに割り当て、コンプライアンス レポートを評価しました。 ポリシー定義では、スコープ内のすべてのリソースが準拠していることが検証されて、準拠していないリソースが識別されます。 これで、VM insights を有効にして、Azure Arc 対応サーバー マシンを監視することができるようになりました。
ご利用のマシンから、パフォーマンスと実行中のプロセス、およびその依存関係を監視および確認する方法については、引き続き次のチュートリアルに進んでください。