ガバナンス応用
ある企業がAzureでAzure Policyの割り当てに失敗するシナリオが発生しました。管理者がルート管理グループレベルでポリシー「許可されるリソースタイプ」を設定した直後、特定のサブスクリプション内のリソースグループにこのポリシーと矛盾するスコープ限定ポリシー(より制限的)を割り当てました。この場合、実際に適用されるルールはどうなるか。
A.ルート管理グループのポリシーが優先され、サブスクリプションレベルのポリシーは無視される
✗ 誤りです。ルート管理グループのポリシーは親レベルのルールとして機能しますが、子レベルのより制限的なポリシーがあれば、その制限が優先されます。
B.最も制限的なポリシーが優先されて適用される← 正解
✓ 正解です。Azure Policyは階層的に継承され、矛盾する場合は最も制限的なポリシーが優先されます。これにより予期しないリソース作成を防ぎます。
C.両方のポリシーが矛盾しているため、すべてのリソース作成がブロックされる
✗ 誤りです。ポリシーが矛盾していても両方が同時に適用されるわけではなく、最も制限的なルールが優先されるため、すべてがブロックされるわけではありません。
D.後から割り当てられたポリシーが完全に置き換わり、ルート管理グループのポリシーのみ有効になる
✗ 誤りです。後から割り当てたポリシーが完全に置き換わることはなく、階層的な継承ルールに従って両方が考慮されます。
この問題のポイント
Azure Policyは階層的に継承され、矛盾する場合は最も制限的なポリシーが優先されます。これにより予期しないリソース作成を防ぎます。
「ガバナンス」の他の問題
ある大企業がAzureの複数のサブスクリプションを管理している。「全サブスクリプションで『東日本リージョン以外へのリソー…ある企業のAzure管理者が、リソースグループ内の重要な本番VMを誤って削除されないように保護したい。設定すべきAzur…ある企業がAzureで重要なストレージアカウントにReadOnlyロックを設定した。このロックが設定されている状態で可能…ある大企業がAzureの複数部門(開発・本番・財務など)でサブスクリプションを分けて管理している。「全社共通のAzure…ある企業のAzure管理者が、タグ(Tag)をリソース管理に活用することを検討している。「すべてのリソースに『部門』タグ…ある企業がAzureの管理階層(ルート管理グループ→管理グループ→サブスクリプション→リソースグループ→リソース)につい…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。