クイックスタート: Bicep ファイルを使用して、準拠していないリソースを特定するためのポリシー割り当てを作成する

[アーティクル]
03/05/2024

このクイックスタートでは、Bicep ファイルを使用して、リソースが Azure ポリシーに準拠していることを検証するポリシー割り当てを作成します。ポリシーはリソースグループに割り当てられ、マネージドディスクを使用しない仮想マシンは監査されます。ポリシーの割り当てを作成後、準拠していない仮想マシンを特定します。

Bicep は、宣言型の構文を使用して Azure リソースをデプロイするドメイン固有言語 (DSL) です。簡潔な構文、信頼性の高いタイプセーフ、およびコードの再利用のサポートが提供されます。 Bicep により、Azure のコードソリューションとしてのインフラストラクチャに最適な作成エクスペリエンスが実現します。

組み込みのポリシーまたはイニシアティブ定義を割り当てる場合、バージョンを参照することは省略可能です。組み込み定義のポリシー割り当ては既定で最新バージョンになり、特に指定がない限り、マイナーバージョンの変更が自動的に継承されます。

前提条件

Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
Bicep。
Azure PowerShell または Azure CLI。
Visual Studio Code と Visual Studio Code 用の Bicep 拡張機能。
Microsoft.PolicyInsights が Azure サブスクリプションに登録されている必要があります。リソースプロバイダーを登録するには、リソースプロバイダーを登録するためのアクセス許可が必要です。このアクセス許可は、共同作成者ロールと所有者ロールに含まれます。
マネージドディスクを使用しない仮想マシンが少なくとも 1 つ存在するリソースグループ。

Bicep ファイルを確認する

Bicep ファイルでリソースグループスコープのポリシー割り当てを作成し、組み込みのポリシー定義である [マネージドディスクを使用していない VM の監査] を割り当てます。

次の Bicep ファイルを policy-assignment.bicep として作成します。

Visual Studio Code を開き、[ファイル]>[新しいテキストファイル] の順に選択します。
Bicep ファイルをコピーして Visual Studio Code に貼り付けます。
[ファイル]>[保存] を選択し、ファイル名 policy-assignment.bicep を使用します。

param policyAssignmentName string = 'audit-vm-managed-disks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
param policyDisplayName string = 'Audit VM managed disks'

resource assignment 'Microsoft.Authorization/policyAssignments@2023-04-01' = {
  name: policyAssignmentName
  scope: resourceGroup()
  properties: {
    policyDefinitionId: policyDefinitionID
    description: 'Policy assignment to resource group scope created with Bicep file'
    displayName: policyDisplayName
    nonComplianceMessages: [
      {
        message: 'Virtual machines should use managed disks'
      }
    ]
  }
}

output assignmentId string = assignment.id

Bicep ファイルで定義されているリソースの種類は Microsoft.Authorization/policyAssignments です。

Bicep ファイルでは、ポリシー割り当てのデプロイに 3 つのパラメーターを使います。

policyAssignmentName は、audit-vm-managed-disks という名前のポリシー割り当てを作成します。
policyDefinitionID は、組み込みのポリシー定義の ID を使用します。参考までに、ID を取得するコマンドは、テンプレートをデプロイするためのセクションにあります。
policyDisplayName は、Azure portal に表示される表示名を作成します。

Bicep ファイルの詳細については、以下を参照してください。

その他の Bicep サンプルを見つけるには、「コードサンプルを参照」にアクセスしてください。
デプロイ用のテンプレートリファレンスの詳細については、Azure テンプレートリファレンスのページを参照してください。
Bicep ファイルを開発する方法については、Bicep のドキュメントを参照してください。
サブスクリプションレベルのデプロイについては、「Bicep ファイルを使用したサブスクリプションのデプロイ」を参照してください。

Bicep ファイルをデプロイする

Azure PowerShell または Azure CLI を使用して Bicep ファイルをデプロイできます。

Visual Studio Code ターミナルセッションから Azure に接続します。複数のサブスクリプションがある場合は、コマンドを実行してコンテキストをサブスクリプションに設定します。 <subscriptionID> は、Azure サブスクリプション ID に置き換えてください。

PowerShell
Azure CLI

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Microsoft.PolicyInsights が登録されていることを確認できます。そうでない場合は、コマンドを実行してリソースプロバイダーを登録できます。

PowerShell
Azure CLI

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

詳しくは、Get-AzResourceProvider と Register-AzResourceProvider をご覧ください。.

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Azure CLI コマンドでは、読みやすくするために、行の継続に円記号 (\) を使用します。詳しくは、「az provider」を参照してください。

次のコマンドは、policyDefinitionID パラメーターの値を表示します:

PowerShell
Azure CLI

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

次のコマンドでポリシー定義をリソースグループにデプロイします。 <resourceGroupName> は実際のリソースグループ名に置き換えます。

PowerShell
Azure CLI

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.bicep'
}

New-AzResourceGroupDeployment @deployparms

$rg 変数には、リソースグループのプロパティが格納されます。 $deployparms 変数はスプラッティングを使用してパラメータ値を作成し、読みやすさを改善します。 New-AzResourceGroupDeployment コマンドは $deployparms 変数で定義されるパラメータ値を使用します。

Name は、リソースグループのデプロイの出力と Azure に表示されるデプロイ名です。
ResourceGroupName で $rg.ResourceGroupName プロパティを使用して、ポリシーが割り当てられているリソースグループの名前を取得します。
TemplateFile は、ローカルコンピューター上の Bicep ファイルの名前と場所を指定します。

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.bicep

rgname 変数で式を使用して、デプロイコマンドで使用されるリソースグループの名前を取得します。

name は、リソースグループのデプロイの出力と Azure に表示されるデプロイ名です。
resource-group は、ポリシーが割り当てられているリソースグループの名前です。
template-file は、ローカルコンピューター上の Bicep ファイルの名前と場所を指定します。

次のコマンドを使用して、ポリシー割り当てのデプロイを確認できます。

PowerShell
Azure CLI

このコマンドで $rg.ResourceId プロパティを使用して、リソースグループの ID を取得します。

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

詳細については、「Get-AzPolicyAssignment」を参照してください。

rgid 変数で式を使用して、ポリシーの割り当てを表示するために使用されるリソースグループの ID を取得します。

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

出力は詳細ですが、次の例のようになります。

"description": "Policy assignment to resource group scope created with Bicep file",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-20T20:57:09.574944Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

詳しくは、「az policy assignment」をご覧ください。

準拠していないリソースを特定する

ポリシーの割り当てがデプロイされると、リソースグループにデプロイされた仮想マシンがマネージドディスクポリシーに準拠しているかどうかが監査されます。

新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。

PowerShell
Azure CLI

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

$complianceparms 変数では、Get-AzPolicyState コマンドで使用するパラメーター値を作成します。

ResourceGroupName は $rg.ResourceGroupName プロパティからリソースグループ名を取得します。
PolicyAssignmentName は、ポリシーの割り当ての作成時に使用される名前を指定します。
Filter は式を使用して、ポリシーの割り当てに準拠していないリソースを見つけます。

次のような結果が返され、ComplianceState が NonCompliant を示しています。

Timestamp                : 2/20/2024 18:55:45
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

詳細については、「Get-AzPolicyState」を参照してください。

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

policyid 変数で式を使用して、ポリシー割り当ての ID を取得します。 filter パラメーターで出力を非準拠リソースに制限します。

az policy state list の出力は詳細ですが、この記事では、complianceState は NonCompliant を示しています。

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

詳しくは、「az policy state」をご覧ください。

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Azure PowerShell セッションからサインアウトするには:

Disconnect-AzAccount

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Azure CLI セッションからサインアウトするには:

az logout

次のステップ

このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。

リソースのコンプライアンスを検証するポリシーの割り当て方法について詳しく学習するには、チュートリアルに進んでください。

チュートリアル:コンプライアンスを強制するポリシーの作成と管理

次の方法で共有