マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

グループ・ポリシーAzure

  • 既存のリソースについて、設定内容が適切か否かを評価する
  • リソースのプロパティに対する制限(基本は許可、明示的に禁止)。

2つの出来ること。

以下、2つのことができるようになる

  • リソース作成・変更を行う際、指定されている設定が適切か否かを確認する
  • 既存のリソースについて、設定内容が適切か否かを評価する

RBACとは、位置付けが異なる。

このため、併用して不適切な設定変更を検知・禁止する。

  • RBAC
    リソースに対する操作そのものを制限。基本は禁止、明示的に許可。
  • Azure Policy
    リソースのプロパティに対する制限。基本は許可、明示的に禁止。

詳細

Edition

無償版 (Basic)

有償版 (Premium)

定義

  • "if" と "then" の組み合わせでポリシーを記述 -単項目までで、複数の項目の関連チェックは難しい。

ifブロック

以下の組み合わせで記述

  • 論理式(not, allOf, anyOf)と
  • 条件(equals, notEquals, like, notLike, contains, exists, in, notIn, ...)

thenブロック

deny, audit などを指定

定義の例

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      {
        "field": "Microsoft.Compute/virtualMachines/osDisk.uri",
        "exists": "True"
      }
    ]
  },
  "then": {
    "effect": "audit"
  }
}

注意点

RBAC とは位置付けが異なる

複雑な条件指定はできない

カスタム・ポリシー開発は大変

  • 特に “deny” (操作禁止)ポリシーの作成は、開発・デバッグが非常に大変
  • 一方で、Azure Security Centerのビルトイン・ポリシーの利用は簡単

参考

Microsoft Docs

Azure Security Center


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-17 (水) 20:36:50 (191d)