Azure Policy のバックアップ(No.4) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Azure Policy へ行く。
- 1 (2021-03-05 (金) 16:37:40)
- 2 (2021-03-05 (金) 16:54:05)
- 3 (2021-03-07 (日) 23:41:14)
- 4 (2021-03-08 (月) 17:39:33)
- 5 (2021-03-13 (土) 01:23:15)
- 6 (2021-03-13 (土) 01:28:01)
- 7 (2021-03-17 (水) 17:30:53)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- Edition
  - 無償版 (Basic)
  - 有償版 (Premium)
- 定義
参考
- Microsoft Docs
- Azure Security Center

概要 †

グループ・ポリシーのAzure版
- 既存のリソースについて、設定内容が適切か否かを評価する
- リソースのプロパティに対する制限（基本は許可、明示的に禁止）。

以下 2 つのことができるようになる
- リソース作成・変更を行う際、指定されている設定が適切か否かを確認する
- 既存のリソースについて、設定内容が適切か否かを評価する

RBACとは、位置付けが異なるため、
併用して不適切な設定変更を検知・禁止する。
- RBAC
  リソースに対する操作そのものを制限。基本は禁止、明示的に許可。
- Azure Policy
  リソースのプロパティに対する制限。基本は許可、明示的に禁止。

詳細 †

Edition †

無償版 (Basic) †

有償版 (Premium) †

定義 †

"if" と "then" の組み合わせでポリシーを記述－単項目までで、複数の項目の関連チェックは難しい。

ifブロック †

以下の組み合わせで記述

論理式（not, allOf, anyOf）と
条件（equals, notEquals, like, notLike, contains, exists, in, notIn, ...）

thenブロック †

deny, audit などを指定

定義の例 †

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      {
        "field": "Microsoft.Compute/virtualMachines/osDisk.uri",
        "exists": "True"
      }
    ]
  },
  "then": {
    "effect": "audit"
  }
}

参考 †

Microsoft Docs †

Azure Policy のドキュメント
https://docs.microsoft.com/ja-jp/azure/governance/policy/
ポリシー定義の構造の詳細 - Azure Policy
https://docs.microsoft.com/ja-jp/azure/governance/policy/concepts/definition-structure

Azure Security Center †

Tags: :インフラストラクチャ, :クラウド, :Azure