次の方法で共有

Azure ランディング ゾーンのカスタム ポリシーを更新する

  • [アーティクル]

時間の経過とともに、Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアティブが、Azure 環境に組み込むことができる新しいバージョンに更新されます。 この記事では、新しいバージョンがリリースされたときに Azure ランディング ゾーンのカスタム ポリシーとポリシー イニシアティブを更新する方法について説明します。

この記事では、概要の手動更新手順について説明し、TerraformBicep モジュール実装に対して更新を処理する方法のリファレンスを提供します。 Bicep を使用して Azure ランディング ゾーンのカスタム ポリシーを Azure ビルトイン ポリシーに移行するには、「Azure ランディング ゾーン ポリシーを Azure ビルトイン ポリシーに移行する」を参照してください。

次のインフォグラフィックは、Azure ランディング ゾーンのカスタム ポリシー更新のデシジョン ツリーとプロセス フローを示しています。Azure ランディング ゾーンのカスタム ポリシー更新プロセスのデシジョン ツリーを示す図。

注意事項

既存のポリシー割り当てを削除するとき、ポリシーの再割り当てにかかる時間中に環境は保護されません。 更新されたポリシーを割り当てた後に、ポリシーの [コンプライアンス] セクションで異常なリソースを確認し、修復します。

Azure ランディング ゾーン環境の更新手順

このセクションでは、Azure ランディング ゾーンのカスタムのポリシーとイニシアティブを新しいバージョンに更新するための一般的な概要手順について説明します。

更新プログラムを検出する

次の権限のあるオプションを使用して、1 つ以上の Azure ランディング ゾーンカスタム ポリシーが古くなっているかどうかを判別します。

更新プログラムの適用

更新されたカスタム ポリシーを Azure ランディング ゾーンの展開に適用するかどうかを判断するには:

  1. Azure 資産が現在、いずれかのスコープで古いカスタム ポリシーを割り当てているかどうかを判断します。 Azure ガバナンス ビジュアライザーを使用している場合は、TenantSummary を確認することで、現在割り当てられているポリシーを確認できます。
  2. 古いカスタム ポリシーのいずれかが Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部であるかどうかを判断します。
  3. Azure 資産が現在、いずれかのスコープで古いカスタム ポリシー イニシアティブのいずれかを割り当てているかどうかを判断します。

上記の調査の結果に応じて、次のアクションを実行します。

ポリシーが割り当てられていない

  • 古いポリシーが Azure 資産に割り当て済みではなく、既存のカスタム ポリシー イニシアチブの一部ではない場合は、Azure ランディング ゾーンの中間ルート管理グループ (Contoso など) で、古いポリシー定義を更新されたポリシー定義に置き換えます。

  • カスタム ポリシー イニシアティブが更新されたが、Azure 資産に割り当てられていない場合は、Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) で、古いカスタム ポリシー イニシアティブを更新されたカスタム ポリシー イニシアティブに置き換えます。

パラメーターに変更がなく、カスタム ポリシー イニシアティブの一部ではないポリシー

古い Azure ランディング ゾーン ポリシーが Azure 資産内の任意のスコープに割り当てられていて、既存の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではなく、パラメーター名と番号が変更されていない場合:

  • Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) で、既存のカスタム ポリシー定義の内容を更新されたカスタム ポリシー定義の内容に置き換えます。 詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

パラメーターに変更があり、カスタム ポリシー イニシアティブの一部ではないポリシー

古い Azure ランディング ゾーン ポリシーが Azure 資産内の任意のスコープに割り当てられていて、既存の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部ではなく、パラメーター名と番号が変更されている場合:

  1. すべての古いポリシー割り当て、割り当てられている場所、およびパラメーター値をキャプチャします。
  2. 次のいずれかのアクションを実行します。
    • ポリシー割り当てに複数のポリシー定義が含まれている場合は、割り当てられているすべてのスコープで古いポリシーを削除してポリシーの割り当てを更新します。
    • ポリシー割り当てに古いポリシーのみが含まれている場合は、割り当てられているすべてのスコープで既存のポリシー割り当てを削除します。
  3. Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から古いポリシーを削除します。
  4. 更新されたポリシーを Azure ランディング ゾーンの中間ルート管理グループにインポートします。
  5. 既存のポリシー割り当てを更新するか、新しいポリシー割り当てを作成して、事前に記録されたスコープに更新されたポリシーを含めます。
  6. 更新されたカスタム ポリシーを再割り当てした後で、ポリシーの [コンプライアンス] セクションを確認して、リソースが正常な状態であることを検証します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

パラメーターに変更がなく、カスタム ポリシー イニシアティブ経由で割り当てられたポリシー

古い Azure ランディング ゾーン ポリシーが既存の Azure ランディング ゾーンのカスタム ポリシー イニシアティブの一部であり、 Azure 資産内の任意のスコープに割り当てられていて、パラメーター名と番号が変更されていない場合:

  • 既存のカスタム ポリシー定義の内容を、更新されたカスタム ポリシー定義の内容に置き換えます。 パラメーター番号と名前は変更されていないため、カスタム ポリシー イニシアティブや割り当てに対してそれ以上変更を加える必要はありません。 詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

パラメーターに変更があり、カスタム ポリシー イニシアティブ経由で割り当てられたポリシー

古いポリシーが既存のカスタム ポリシー イニシアティブの一部であり、 Azure 資産内の任意のスコープに割り当てられていて、パラメーター名と番号が変更されている場合:

  1. カスタム ポリシー イニシアティブに対するすべてのポリシー割り当て、割り当てられている場所、およびパラメーター値をキャプチャします。

  2. 割り当てられているすべてのスコープで、既存のポリシー割り当てを削除します。

  3. カスタム ポリシー イニシアティブから古いポリシーを削除します。

    カスタム ポリシー イニシアティブから "イニシアティブ パラメーター" を削除することはできません。 これらのパラメーターは再利用することを検討してください。

  4. Azure ランディング ゾーンの中間ルート管理グループ (例: Contoso) から古いポリシーを削除します。

  5. 更新されたポリシーを Azure ランディング ゾーンの中間ルート管理グループにインポートします。

  6. 更新されたポリシーをカスタム ポリシー イニシアティブに追加します。

    • 必要に応じて、前のイニシアティブ パラメーターを再利用します。
    • 必要に応じて、カスタム ポリシー イニシアティブで定義されている既存の名前付けパターンに従って、他のイニシアティブ パラメーターを追加します。

  7. 更新されたカスタム ポリシー イニシアティブを再割り当てします。

  8. 更新されたカスタム ポリシー イニシアティブを再割り当てした後で、ポリシーの [コンプライアンス] セクションを確認して、リソースが正常な状態であることを検証します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

割り当てられているカスタム ポリシー イニシアティブの更新

Azure ランディング ゾーンのカスタム ポリシー イニシアティブが完全に更新され、Azure 資産内の任意のスコープで割り当てられている場合:

  1. Azure ランディング ゾーンのカスタム ポリシー イニシアティブに対するすべてのポリシー割り当て、割り当てられている場所、およびパラメーター値をキャプチャします。

  2. 割り当てられているすべてのスコープで、既存のポリシー割り当てを削除します。

  3. 中間ルート管理グループ (例: Contoso) から古いカスタム ポリシー イニシアティブを削除します。 削除する前に、すべてのカスタム ポリシー定義が最新である場合、すべてのカスタム ポリシー定義の名前と ID を記録します。

  4. 該当するポリシー参照を使用して、更新されたカスタム ポリシー イニシアティブ定義をインポートします。

    更新されたイニシアティブは、カスタム ポリシーの汎用の contoso スコープを使用して、policySetDefinitions で取得できます。 ポリシー定義 ID ごとに、contoso スコープを管理グループ階層の擬似ルート名に変更してください。

  5. 更新されたカスタム ポリシー イニシアティブを再割り当てします。

  6. 更新されたカスタム ポリシー イニシアティブを再割り当てした後で、ポリシーの [コンプライアンス] セクションを確認して、リソースが正常な状態であることを検証します。

詳細なガイダンスについては、Azure ランディング ゾーンのユーザー ガイドを参照してください。

Terraform モジュールの展開に対する更新手順

Azure ランディング ゾーン Terraform モジュールを使用して Azure ランディング ゾーンの展開を管理する場合は、このセクションで、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを更新するためのリソースを提供します。

Terraform で更新を検出する

ポリシーが変更されたかどうかを判別するには、更新プログラムの検出にあるメソッドを使用します。 Terraform モジュールでは、Releases ページでポリシーの変更を確認することもできます。 例については、v2.3.0 のポリシーの更新に関する記事を参照してください。

Terraform で更新する

Azure ランディング ゾーン Terraform モジュールには、破壊的変更を配置するための更新ガイダンスが用意されています。 アップグレード ガイドに記載の、ご使用のバージョンのアップグレード ガイダンスに従ってください。

Bicep モジュールの展開に対する更新手順

ALZ-Bicep モジュールを使って Azure ランディング ゾーンの展開を管理する場合は、このセクションで、Azure ランディング ゾーンのカスタム ポリシーとイニシアティブを更新するためのリソースを提供します。

Bicep で更新を検出する

ポリシーが変更されたかどうかを判別するには、更新プログラムの検出にあるメソッドを使用します。 ALZ-Bicep リリースのページでは、ALZ-Bicep ポリシーの変更点も確認できます。

Bicep で更新する

ALZ-Bicep では、Azure ランディング ゾーンのカスタム ポリシーを新しいポリシーに更新するための一般的なガイダンスを提供しています。 詳細については、Azure ランディング ゾーンのカスタム ポリシーを Azure ビルトイン ポリシーに移行する方法に関するページを参照してください。

次の手順

Azure portal、Bicep、Terraform のどちらを使用して Azure ランディング ゾーン インフラストラクチャを管理するかに関係なく、時間の経過にともなうポリシーの変更を管理する必要があります。 この記事のフローを出発点として、Azure ランディング ゾーン実装のポリシー管理に関するプロセスを開発してください。