「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure]] * 目次 [#e395f158] #contents *概要 [#lc19b0af] キッティングしてもらったAzure Subscriptionを、~ エンタープライズ・ユースで安全に管理するには?的なトピック。 *詳細 [#f1603591] 以下を活用して、 -アカウントを管理する。 -アクセス権で操作や通信を制限し、 -必要に応じて[[VPN]]接続を利用する。 **[[Azure Resource Manager]] [#oc702ce7] ロール定義、ロール割り当てで、アクセス権で操作を管理する。 ***シェル [#xf27df8b] -[[Azure Cloud Shell]] --Azure リソースを管理するための、ブラウザーでアクセスできるシェル。 --Linux ユーザーは Bash を、Windows ユーザーは PowerShell を選ぶことができる。 -[[Azure PowerShell]]~ [[Azure Resource Manager]] モデルを使う一連のコマンドレットが用意されている。 -[[Azure CLI]]~ [[Azure PowerShell]]のPython版(Pythonがあれば動作する)。 ***アクセス制御 [#y22b8263] -[[Role Based Access Control (RBAC)]]~ アカウントにロールを関連付ける。 -[[Network Security Group (NSG)]]~ 通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。 **[[VPN Gateway]] [#r9b224ff] -[[VPN]]接続を利用する。 -Site-to-Site VPN (S2S) --インバウンドが全体的にNGのとき -Point-to-Site VPN (P2S) --インバウンドのRDP/SSHなどのPWD認証では心配な時 --プログラム(脆弱性診断未実施)のインバウンドが心配な時 *構成 [#fbfd8251] **最小 [#t3ad5b4e] ***アカウント [#oced7087] 管理者アカウント (サブスクリプション レベルでのサービス管理者ロール)1つ。 ***ネットワーク [#v770ac8a] 1VNET内に、1サブネット ***VM [#f3f0711e] 使用する数だけ用意する。 ***[[NSG>#n32844af]] [#y926d302] 1サブネット向けに1[[NSG>#n32844af]]を作成する。 **拡大 [#o5c28e84] ***アカウント [#da5a0f91] 管理者権限(?)を付与することなく、~ 複数のユーザを同じサブスクリプションでの業務に招待できる。 -共同管理者を追加する。 -作業者を追加する。 ***ネットワーク [#fcffca21] -[[Azureのサブネッティング]] --DMZの構築 --サブネットの分割 -[[Azureの仮想ネットワーク ピアリング]]~ あとあと、仮想ネットワーク間を接続する。 -[[VPN Gateway]]の構築 --Site-to-Site VPN (S2S) --Point-to-Site VPN (P2S) --VNet-to-VNet VPN (V2V) ***VM [#n5c6ba00] 使用する数だけ用意する。 ***[[NSG>#n32844af]] [#f5cfa9ef] 追加したサブネット間の通信に関する[[NSG>#n32844af]]を追加し、サブネットに関連付ける。 *[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568] *参考 [#w8eeb356] **Microsoft Docs [#ea478db1] -Azure に移行する企業のためのベスト プラクティス~ https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-governance -サブスクリプション ガバナンスのシナリオと例~ https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-examples -Azure のネットワーク セキュリティに関するベスト プラクティス~ https://docs.microsoft.com/ja-jp/azure/best-practices-network-security ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]