「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-戻る
--[[グループ・ポリシー]]
--[[Azureの監視と管理]]~
[[Azureのアクセス制御と権限]]
---Azure Policy
---[[Azure Security Center]]
---[[Azure Blueprints]]
* 目次 [#mf3f45ac]
#contents
*概要 [#h4ec91b8]
**[[グループ・ポリシー]]の[[Azure]]版 [#i5b986e8]
-既存のリソースについて、設定内容が適切か否かを評価する
-リソースのプロパティに対する制限(基本は許可、明示的に禁止)。
**2つの出来ること。 [#m279f48f]
以下、2つのことができるようになる
-リソース作成・変更を行う際、指定されている設定が適切か否かを確認する
-既存のリソースについて、設定内容が適切か否かを評価する
**[[RBAC>Role Based Access Control (RBAC)]]とは、位置付けが異なる。 [#ec201ce8]
このため、併用して不適切な設定変更を検知・禁止する。
-[[RBAC>Role Based Access Control (RBAC)]]~
リソースに対する操作そのものを制限。基本は禁止、明示的に許可。
-Azure Policy~
リソースのプロパティに対する制限。基本は許可、明示的に禁止。
*詳細 [#bbdbe574]
**Edition [#s4feaca8]
***無償版 (Basic) [#uc3d1530]
***有償版 (Premium) [#wbc8d8c3]
**定義 [#hc312a27]
-"if" と "then" の組み合わせでポリシーを記述
-単項目までで、複数の項目の関連チェックは難しい。
***ifブロック [#tc7f712e]
以下の組み合わせで記述
-論理式(not, allOf, anyOf)と
-条件(equals, notEquals, like, notLike, contains, exists, in, notIn, ...)
***thenブロック [#s8fb9378]
deny, audit などを指定
***定義の例 [#t742b908]
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/virtualMachines/osDisk.uri",
"exists": "True"
}
]
},
"then": {
"effect": "audit"
}
}
**注意点 [#l305336b]
***[[RBAC とは位置付けが異なる>#ec201ce8]] [#u6a4ff44]
***[[複雑な条件指定はできない>#hc312a27]] [#m8ea011c]
***カスタム・ポリシー開発は大変 [#b981cbb2]
-特に “deny” (操作禁止)ポリシーの作成は、開発・デバッグが非常に大変
-一方で、[[Azure Security Center]]のビルトイン・ポリシーの利用は簡単
*参考 [#j6d68a60]
**Microsoft Docs [#mbaabbc1]
-Azure Policy のドキュメント~
https://docs.microsoft.com/ja-jp/azure/governance/policy/
-ポリシー定義の構造の詳細 - Azure Policy~
https://docs.microsoft.com/ja-jp/azure/governance/policy/concepts/definition-structure
**[[Azure Security Center]] [#mffa20f4]
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:Azure]]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
