この記事では、Azure Backup が組み込みの Azure Policy 定義を使用して、Azure Files のバックアップ構成の監査と適用を自動化し、組織のデータ保護標準に確実に準拠する方法について説明します。
バックアップ チームの構造とリソースの組織に基づいて、次のオプションから最適なポリシーを選択して、効果的で一貫性のあるバックアップ管理を確保できます。
Azure Files バックアップの Azure Policy の種類
次の表に、Azure Files インスタンスのバックアップを自動的に管理できるさまざまなポリシーの種類を示します。
| ポリシーの種類 | 説明 |
|---|---|
| ポリシー 1 | 同じ場所にある既存の Recovery Services コンテナーに対して、特定のタグなしで Azure Files のバックアップを構成します。 |
| ポリシー 2 | 同じ場所にある既存の Recovery Services コンテナーへの特定のタグを使用して、Azure Files のバックアップを構成します。 |
| ポリシー 3 | 新しいポリシーを使用して、新しい Recovery Services コンテナーに特定のタグを付けずに Azure Files のバックアップを構成します。 |
| ポリシー 4 | 新しいポリシーを使用して、新しい Recovery Services コンテナーへの特定のタグを使用して Azure Files のバックアップを構成します。 |
| ポリシー 5 | Azure Files で Azure Backup が有効になっているかどうかを検証します。 |
ポリシー 1: 同じ場所にある既存の Recovery Services コンテナーへの特定のタグなしで Azure Files 共有のバックアップを構成する
このポリシーでは、ストレージ アカウントと同じ場所とサブスクリプションにある既存の中央 Recovery Services コンテナーを使用するように構成することで、すべての Azure Files のバックアップを適用します。 これは、中央チームがサブスクリプション内のすべてのリソースのバックアップを管理するシナリオに適しています。 特定のタグを持つストレージ アカウント内の Azure Files を除外して、ポリシー スコープを絞り込むことができます。
このポリシーは、ストレージ アカウントの TagNames と TagValues をチェックして除外を識別します。 指定したタグを持つストレージ アカウントがコンプライアンス レポートから除外されます。 このポリシーは、指定されたパラメーターを使用して各ストレージ アカウントとそのファイル共有を評価し、その結果を Azure portal に表示します。
評価ワークフローは、次の条件に従って動作します。
ストレージ アカウントが Recovery Services コンテナーに登録されている: ファイル共有が既にバックアップされている場合、何も実行されません。 そうでない場合、ストレージ アカウントがポリシーで指定された Recovery Services コンテナーにリンクされている場合は、バックアップが有効になります。 別の Recovery Services コンテナーにリンクされている場合、バックアップはスキップされます。
ストレージ アカウントは Recovery Services コンテナーに登録されていません。ストレージ アカウントは指定された Recovery Services コンテナーに登録され、ストレージ アカウント内のすべてのファイル共有が自動的にバックアップされます。
ポリシー 2: 同じ場所にある既存の Recovery Services コンテナーへの特定のタグを使用して Azure Files 共有のバックアップを構成する
このポリシーでは、ストレージ アカウントと同じ場所とサブスクリプション内の指定された Recovery Services コンテナーに転送することで、すべての Azure Files のバックアップが適用されます。 これは、バックアップを管理する中央チームを持つ組織に適しています。 必要な TagName と TagValueを設定することで、ポリシー スコープを特定のタグを持つストレージ アカウントに制限できます。
このポリシーは、指定されたタグに基づいてストレージ アカウントをチェックし、バックアップ設定を適用します。 対象となるアカウントで保護されていないファイル共有が見つかると、次のロジックが適用され、Azure portal に結果が表示されます。
ストレージ アカウントは既に Recovery Services コンテナーに登録されています。すべてのファイル共有が既にバックアップされている場合、ポリシーはアクションを実行しません。 ファイル共有にバックアップが構成されておらず、ストレージ アカウントがポリシーで指定された Recovery Services コンテナーと一致する場合、バックアップは有効になります。 ストレージ アカウントが別の Recovery Services コンテナーにリンクされている場合、ポリシーは変更を行いません。
ストレージ アカウントはどの Recovery Services コンテナーにも登録されていません。ポリシーは、指定された Recovery Services コンテナーにストレージ アカウントを登録し、そのすべてのファイル共有のバックアップ操作を自動的に開始します。
注
指定した包含タグを持つストレージ アカウントは、評価中およびコンプライアンス レポートに表示されます。
ポリシー 3: 新しいポリシーを使用して、新しい Recovery Services コンテナーに特定のタグを付けずに Azure Files 共有のバックアップを構成する
このポリシーでは、Recovery Services コンテナーをストレージ アカウントと同じ場所とリソース グループにデプロイすることで、すべての Azure Files のバックアップを適用します。 アプリケーション チームが独自のリソース グループ内でバックアップを管理する組織に適しています。 特定のタグ (TagName と TagValue) を持つストレージ アカウントを除外して、ポリシー スコープを絞り込むことができます。 ポリシーは、定義されたパラメーターに基づいて各ストレージ アカウントをチェックし、除外タグを持つストレージ アカウントをスキップして、コンプライアンス レポートから除外します。
評価ワークフローは、次の条件に従って動作します。
ストレージ アカウントは既に Recovery Services コンテナーに登録されています。すべてのファイル共有が既にバックアップされている場合、ポリシーはアクションを実行しません。 ファイル共有にバックアップが構成されておらず、ポリシーで指定された Recovery Services コンテナーと同じストレージ アカウントにある場合、バックアップは 1 回限りの修復タスクの実行後に開始されます。 このタスクは 1 回だけ実行されます。同じアカウント内の将来のファイル共有は自動的にバックアップされます。
ストレージ アカウントはどの Recovery Services コンテナーにも登録されていません。このポリシーでは、ストレージ アカウントと同じリソース グループと場所に新しい Recovery Services コンテナーが作成されます。 その後、ストレージ アカウントがこのコンテナーに登録され、アカウント内のすべてのファイル共有が自動的にバックアップされます。
ポリシー 4 - 新しいポリシーを使用して、新しい Recovery Services コンテナーへの特定のタグを使用して Azure Files 共有のバックアップを構成する
このポリシーでは、ストレージ アカウントと同じ場所とリソース グループに Recovery Services コンテナーを作成することで、すべての Azure Files のバックアップが適用されます。 これは、アプリケーション チームが専用のリソース グループ内で独自のバックアップ操作と復元操作を管理する組織に適しています。 特定のタグ (TagName と TagValue) を持つストレージ アカウントにポリシー スコープを制限して、正確な制御を行うことができます。
ポリシーは、定義されたパラメーターに基づいて各ストレージ アカウントをチェックします。 これには、指定したタグに一致し、Azure portal でのコンプライアンスの状態を反映するアカウントが含まれます。
評価ワークフローは、次の条件に従って動作します。
ストレージ アカウントは既に Recovery Services コンテナーに登録されています。すべてのファイル共有が既にバックアップされている場合、ポリシーはアクションを実行しません。 バックアップが構成されていないファイル共有があり、そのファイル共有がポリシーで指定された Recovery Services コンテナーと同じストレージ アカウントにある場合、バックアップは 1 回限りの修復タスクの実行後に開始されます。 このタスクが完了すると、同じアカウント内の将来のファイル共有が自動的にバックアップされます。
ストレージ アカウントはどの Recovery Services コンテナーにも登録されていません。このポリシーでは、ストレージ アカウントと同じ場所とリソース グループに新しい Recovery Services コンテナーが作成され、このコンテナーにストレージ アカウントが登録され、その中のすべてのファイル共有が自動的にバックアップされます。
ポリシー 5: Azure ファイル共有で Azure Backup を有効にする必要がある
このポリシーは、Azure Files の保護が Azure Backup で構成されているかどうかを検証します。これは、Azure ワークロードを保護するためのセキュリティで保護されたコスト効率の高いソリューションです。 準拠リソースと非準拠リソースの両方を一覧表示するレポートが生成されます。
Azure Policy を使用した Azure Files バックアップでサポートされているシナリオとサポートされていないシナリオ
次の表に、使用可能なポリシーの種類でサポートされているシナリオとサポートされていないシナリオを示します。
| ポリシーの種類 | サポートされています | サポートされていない |
|---|---|---|
| ポリシー 1 と 2 | 一度に 1 つの場所とサブスクリプションに割り当てることができます。 場所とサブスクリプション間でファイルのバックアップを有効にするには、ポリシー割り当ての複数のインスタンスを作成する必要があります。これは、場所とサブスクリプションの組み合わせごとに 1 つずつです。 - 指定されたコンテナーとバックアップ用に構成された Azure Files は、異なるリソース グループの下に配置できます。 |
現在、管理グループのスコープはサポートされていません。 |
| ポリシー 3 と 4 | 一度に 1 つのサブスクリプション (またはサブスクリプション内のリソース グループ) に割り当てることができます。 |
Azure Files バックアップ用の組み込み Azure ポリシーを割り当てる
このセクションでは、ポリシー 1 を割り当てるエンド ツー エンドの手順について説明します。 他のポリシーにも同じ手順が適用されます。 割り当て後、ポリシーは、定義されたスコープ内に作成された新しいファイル共有のバックアップを自動的に構成します。
Azure Files バックアップにポリシー 1 を割り当てるには、次の手順に従います。
Azure portal で >> に移動し、Azure リソース全体のすべての組み込みポリシーを表示します。
ポリシー定義ウィンドウで、カテゴリをバックアップとして一覧をフィルターし、ポリシーの種類を組み込みとして選択し、同じ場所にある既存のリカバリー サービス ボルトにタグを付けず、Azure Files 共有のバックアップを構成するという名前のポリシーを選択します。
選択したポリシー ウィンドウで、ポリシーの詳細を確認し、[ ポリシーの割り当て] を選択します。
[ポリシーの割り当て] ウィンドウの [基本] タブで、[スコープに対応するその他のアイコン] を選択します。
右側のコンテキスト ウィンドウで、適用するポリシーのサブスクリプションを選択します。
また、リソース グループを選択して、ポリシーが特定のリソース グループ内の VM にのみ適用されるようにすることもできます。
[ パラメーター ] タブで、スコープ内の Azure Files を関連付ける必要がある 場所、 コンテナー名、 バックアップ ポリシー名 を指定します。
タグ名とタグ値の配列を指定することもできます。 指定されたタグに指定された値のいずれかを含むファイル共有は、ポリシー割り当てのスコープから除外されます。
[効果] が [
deployIfNotExistsに設定されていることを確認します。[確認および作成] タブで、 [作成] を選択します。
注
このポリシーを 200 を超えるファイル共有に一度に割り当てることは避けてください。バックアップ トリガーがスケジュールされた時間を数時間超えて遅延する可能性があるためです。