準拠していないリソースを識別するためのポリシー割り当てを作成する」を参照してください。
Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 このクイックスタートでは、ポリシーの割り当てを作成して、マネージド ディスクを使用していない仮想マシンを特定するプロセスについて順を追って説明します。
このプロセスを終了すると、マネージド ディスクを使用していない仮想マシンを適切に特定できるようになります。 これらはポリシーの割り当てに "準拠していません"。
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ポリシー割り当てを作成する
このクイック スタートでは、ポリシーの割り当てを作成し、"Managed Disks を使用していない VM の監査" ポリシー定義を割り当てます。
Azure portal で [すべてのサービス] を選択し、「Policy」を検索して選択することで、Azure Policy サービスを起動します。
Azure Policy ページの左側にある [割り当て] を選択します。 割り当ては、特定のスコープ内で実行するように割り当てられたポリシーです。
[ポリシー - 割り当て] ページの上部で [ポリシーの割り当て] を選択します。
[ポリシーの割り当て] ページで、省略記号を選択した後、管理グループまたはサブスクリプションを選択して [スコープ] を設定します。 任意でリソース グループを選択します。 スコープによって、ポリシー割り当てを強制するリソースまたはリソースのグループが決まります。 次に、[スコープ] ページの下部にある [選択] ボタンを使用します。
この例では、Contoso サブスクリプションを使用しています。 お客様によってサブスクリプションは異なります。
リソースはスコープに基づいて除外できます。 除外はスコープのレベルよりも 1 つ下のレベルで開始されます。 除外は省略可能です。ここでは空のまま残してください。
[ポリシー定義] の省略記号を選択して、使用可能な定義の一覧を開きます。 Azure Policy に組み込まれているポリシー定義を使用できます。 次のようなさまざまな定義を利用できます。
- タグとその値を強制
- タグとその値を適用
- タグが存在しない場合は、リソース グループからタグを継承する
使用できる組み込みポリシーの部分的な一覧については、Azure Policy サンプルに関する記事をご覧ください。
ポリシー定義の一覧で、"Audit VMs that do not use managed disks(マネージド ディスクを使用しない VM の監査)" 定義を見つけます。 そのポリシーを選択し、[選択] ボタンを使用します。
[割り当て名] には選択したポリシー名が自動的に入力されますが、この名前は変更できます。 この例では、"Audit VMs that do not use managed disks(マネージド ディスクを使用しない VM の監査)" をそのまま使用します。 必要に応じて、説明を追加することもできます。 説明では、このポリシーの割り当ての詳細を示します。 [割り当て担当者] には、ログイン ユーザーに基づいて自動的にデータが入力されます。 このフィールドは任意です。カスタム値を入力できます。
ポリシーの適用は "有効" のままにしておきます。 詳細については、ポリシー割り当て - 強制モードに関するページを参照してください。
ページ下部にある [次へ] またはページの上部にある [パラメーター] タブを選択して、割り当てウィザードの次のセグメントに移動します。
[基本] タブで選択されたポリシー定義にパラメーターが含まれている場合、このタブで構成します。 [Managed Disks を使用していない VM の監査] にはパラメーターがないので、ページ下部の [次へ] を選択するかページ上部の [修復] タブを選択して、割り当てウィザードの次のセグメントに移動します。
[マネージド ID を作成します] のチェックは外しておいてください。 このチェック ボックスは、ポリシーまたはイニシアティブに deployIfNotExists または modify 効果を利用したポリシーが含まれる場合に、オンにする "必要があります"。 このクイック スタートに使用するポリシーにはそれが含まれないため、オフのままにします。 詳しくは、マネージド ID および修復のアクセス制御のしくみに関するページをご覧ください。
ページ下部にある [次へ] またはページの上部にある [Non-compliance messages](コンプライアンス違反メッセージ) タブを選択して、割り当てウィザードの次のセグメントに移動します。
[Non-compliance message](コンプライアンス違反メッセージ) を [Virtual machines should use a managed disk](仮想マシンはマネージド ディスクを使用する必要があります) に設定します。 このカスタム メッセージは、リソースが拒否されたときに表示されるほか、コンプライアンス違反のリソースについては、通常の評価時に表示されます。
ページ下部にある [次へ] またはページの上部にある [確認と作成] タブを選択して、割り当てウィザードの次のセグメントに移動します。
選択したオプションを確認してから、ページ下部にある [作成] を選択します。
以上の手順で、準拠していないリソースを特定し、環境のコンプライアンスの状態を理解できるようになりました。
準拠していないリソースを特定する
ページの左側にある [コンプライアンス] を選択します。 次に、作成した "Managed Disks を使用していない VM の監査" ポリシー割り当てを見つけます。
この新しい割り当てに準拠していない既存のリソースがある場合、 [準拠していないリソース] の下に表示されます。
既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。
リソースの状態 | 結果 | ポリシーの評価 | コンプライアンスの状態 |
---|---|---|---|
新機能か更新された機能か | Audit、Modify、AuditIfNotExist | True | 非準拠 |
新機能か更新された機能か | Audit、Modify、AuditIfNotExist | False | 対応 |
Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 非準拠 |
Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 対応 |
注意
DeployIfNotExist 効果と AuditIfNotExist 効果が非準拠となるためには、IF ステートメントが TRUE で、存在条件が FALSE である必要があります。 TRUE のとき、IF 条件は関連するリソースの既存の条件の評価をトリガーします。
リソースをクリーンアップする
作成した割り当てを削除するには、次の手順のようにします。
Azure Policy ページの左側の [コンプライアンス] (または [割り当て]) を選択し、作成した "Audit VMs that do not use managed disks(マネージド ディスクを使用しない VM の監査)" ポリシーの割り当てを見つけます。
"マネージド ディスクを使用しない VM の監査" ポリシー割り当てを右クリックし、[割り当ての削除] を選択します。
次のステップ
このクイック スタートでは、ポリシー定義をスコープに割り当て、コンプライアンス レポートを評価しました。 ポリシー定義では、スコープ内のすべてのリソースが準拠していることが検証されて、準拠していないリソースが識別されます。
新しいリソースが準拠していることを検証するためのポリシーの割り当てについて詳しく学習するには、次のチュートリアルに進んでください。