Azure Policy のしくみ
Azure Policy の概念
ここでは、Azure Policy を使用するために事前に理解しておく必要がある、いくつかの概念を説明します。
ポリシー: ポリシーとは、組織内で適用されるビジネス ルールのことです。
イニシアティブ: イニシアティブとは、管理を簡略化するために組み合わされた一連のポリシーのことです。 ポリシーとイニシアティブはどちらも JSON 形式で記述されます。
定義: 定義は、組み込みまたはカスタムのイニシアティブと割り当て可能なポリシーの一覧です。
割り当て: 割り当ては、スコープを持つイニシアティブまたはポリシーの関連付けです。 Azure Policy のスコープは、管理グループ、Azure サブスクリプション、またはリソース グループとすることができます。 すべての子リソースは、親リソースの割り当てを継承します。
適用除外: 適用除外は、リソースを階層的に除外する場合、またはイニシアティブや定義の評価から個々のリソースを除外する場合に使用します。
修復: 修復は、準拠していないリソースを処理する方法です。 修復タスクを作成し、リソースに必要な状態を確保することができます。
Azure Policy のバージョン管理 (プレビュー) に組み込まれたポリシー定義とイニシアティブは、同じ定義 ID を持つ複数のバージョンを持つことができます。 既定では、最新のメジャー バージョンが使用されます。 新しいマイナー バージョンを受け入れるか、特定のマイナー バージョンにピン留めすることができます。 パッチ バージョンは、セキュリティの目的で自動的に受け入れられます。
対象となるリソース
Arc 対応リソースを含むすべての Azure リソースが、Azure Policy の対象になります。 たとえば、Windows および Linux の物理サーバーや、Azure の外部、企業ネットワーク、または他のクラウド プロバイダーでホストされている仮想マシンにまで制御の範囲を拡張できます。 Azure リソースの場合、Azure Policy の使用は無料ですが、Arc リソースの場合は料金が発生します。
Azure Arc は、Azure の外部でホストされているリソースの種類を管理できるサービスです。 次のリソースの種類がサポートされています。
- 物理および仮想 Windows または Linux サーバー。
- Kubernetes クラスター。
- Azure SQL Managed Instance などの Azure データ サービス。
- SQL Server。
VMware vSphere または Azure Stack HCI に基づいて仮想マシンをプロビジョニング、サイズ変更、削除、管理し、ロールベースのアクセスを通じて VM セルフサービスを有効にすることもできます。
関連サービス
- Azure Blueprints: ポリシー割り当ては Azure Blueprints の成果物の種類です。つまり、Azure Blueprints を使用してポリシー割り当てを割り当てることができます。 ポリシーは、.NET、JavaScript、Python、REST API、PowerShell、Azure CLI、ARM テンプレート、Bicep、Terraform を使用して割り当てできます。
- Azure Resource Graph: Azure Resource Graph では、クエリを実行して、割り当てやリソースの種類ごとにコンプライアンスの詳細に関する情報を取得したり、準拠していないすべてのリソースの一覧を表示したり、リソースのコンプライアンスを状態別にまとめたりすることができます。
- Azure Security Center: Azure Security Center からの推奨事項が、組み込みのセキュリティ ポリシー イニシアティブから提供されます。
Azure Policy のコスト
Azure リソースに Azure Policy を使用するコストは発生しません。
Azure Policy を使用して Azure Arc リソースをカバーすることを計画している場合は、料金が生じる特定のシナリオがあります。 コストを見積もる場合は、Azure Policy の価格または価格計算ツールを使用します。