ガバナンス応用
ある企業の管理者が、Azure Policyで「すべてのリソースに『環境(Environment)』タグが必須」というポリシーを、効果を「拒否」で割り当てました。その直後、開発チームが「Environmentタグなし」でAzure App Serviceをデプロイしようとしました。その後、管理者がこのポリシーの効果を「監査」に変更しました。この状況で以下のどの記述が正しいか。
A.すでに拒否されたApp Serviceは削除される
✗ 誤りです。App Serviceはデプロイされなかったため(拒否されたため)、削除対象がありません。
B.ポリシー効果を監査に変更した時点で、Environmentタグなしのリソースも作成可能になる← 正解
✓ 正解です。ポリシー効果を「拒否」から「監査」に変更すると、ポリシー評価は行われますが作成はブロックされなくなるため、Environmentタグなしでもリソース作成が可能になります。
C.開発チームは監査ログを無視して、タグなしでリソースを作成できるようになる
✗ 誤りです。「監査ログを無視して」という表現は不正確です。監査モードではポリシー評価が行われてログに記録されますが、リソース作成自体はブロックされません。意図的に無視しているわけではなく、設計上許可されています。
D.過去に拒否された要求は記録に残り、今後の同様の試行は監査ログに記録されるのみになる
✗ 誤りです。「今後の試行は監査ログに記録されるのみ」という部分は正しいですが、「今後タグなしでリソース作成が可能になる」という点が抜けており不完全です。また選択肢2が正解であるため、この選択肢は不正解です。
この問題のポイント
ポリシー効果を「拒否」から「監査」に変更すると、ポリシー評価は行われますが作成はブロックされなくなるため、Environmentタグなしでもリソース作成が可能になります。
「ガバナンス」の他の問題
ある大企業がAzureの複数のサブスクリプションを管理している。「全サブスクリプションで『東日本リージョン以外へのリソー…ある企業のAzure管理者が、リソースグループ内の重要な本番VMを誤って削除されないように保護したい。設定すべきAzur…ある企業がAzureで重要なストレージアカウントにReadOnlyロックを設定した。このロックが設定されている状態で可能…ある大企業がAzureの複数部門(開発・本番・財務など)でサブスクリプションを分けて管理している。「全社共通のAzure…ある企業のAzure管理者が、タグ(Tag)をリソース管理に活用することを検討している。「すべてのリソースに『部門』タグ…ある企業がAzureの管理階層(ルート管理グループ→管理グループ→サブスクリプション→リソースグループ→リソース)につい…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。