デプロイ応用
チーム内の開発者がARMテンプレートを使用してAzureリソースをデプロイしたいのですが、セキュリティポリシーにより、特定のリソースタイプ(例:Virtual Machineのサイズ)や課金に関わるサービス(例:Premium Tier)は制限したいとします。どのAzure機能を使用して、テンプレートレベルではなく、権限制御レベルでこれらを制限すべきですか?
A.ARMテンプレートのallowedValuesセクションで許可するリソースタイプを列挙する
✗ allowedValuesはテンプレートパラメータの入力値制限であり、リソースタイプやコスト制御には使えません。
B.Azure Policy を使用して、リソースグループレベルで許可する場所、SKU、タグを定義する← 正解
✓ 正解です。Azure Policyはガバナンスツールで、許可されたリソース、SKU、地域などを組織レベルで強制でき、テンプレートの内容に関わらず制御できます。
C.Azure RBACで開発者に『Contributor』ロールを付与し、マネージャーが承認時にチェックする
✗ Contributorロールは高い権限を与えるため、事前承認では一度承認されたら制御が機能しません。
D.テンプレート内のvariablesセクションでハードコードした制限値を設定する
✗ テンプレート内のハードコード制限は、テンプレート編集時に容易に回避でき、組織全体のガバナンスになりません。
この問題のポイント
Azure Policyはガバナンスツールで、許可されたリソース、SKU、地域などを組織レベルで強制でき、テンプレートの内容に関わらず制御できます。
「デプロイ」の他の問題
ある企業がAzureリソースのデプロイを自動化したい。「JSONフォーマットでAzureリソースを宣言的に定義し、Azu…ある企業がAzureのIaCでARMテンプレート(JSON)の複雑さを解消したい。「ARMテンプレートより簡潔な構文でA…ある企業がマルチクラウド環境(Azure・AWS・GCP)でインフラをコード管理したい。「ベンダーに依存しない単一のIa…ある企業がAzureの管理方法を統一したい。「ポータルのGUIを使わずに、コマンドラインからAzureリソースを管理・操…ある企業がAzureのリソースデプロイを自動化する際、ARM テンプレートの「冪等性(べきとうせい)」について説明してい…ある企業がAzure Virtual Machinesをデプロイする際、以下の条件でコストを算出する必要があります。
-…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。