クイックスタート: Azure portal を使用して、ポリシーの割り当てを作成し、準拠していないリソースを特定する
Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 このクイックスタートでは、Azure portal を使用して、 ポリシーの割り当てを作成し、準拠していないリソースを特定します。 ポリシーはリソース グループに割り当てられ、マネージド ディスクを使用しない仮想マシンは監査されます。 ポリシーの割り当てを作成後、準拠していない仮想マシンを特定します。
前提条件
- Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
- マネージド ディスクを使用しない仮想マシンが少なくとも 1 つ存在するリソース グループ。
ポリシー割り当てを作成する
このクイックスタートでは、組み込みポリシー定義 "マネージド ディスクを使用していない VM の監査" を使用してポリシー割り当てを作成します。
Azure portal にサインインします。
ポリシーを検索し、一覧から選択します。
[ポリシー] ペインの [割り当て] を選択します。
[ポリシーの割り当て] ペインから [ポリシーの割り当て] を選択します。
[ポリシーの割り当て] ペインの [基本] タブで、次のオプションを構成します。
フィールド アクション スコープ 省略記号 ( ...
) を使用して、サブスクリプションとリソース グループを選択します。 次に [選択] を選んでスコープを適用します。除外 省略可能であり、この例では使用されません。 ポリシー定義 省略記号を選択して、使用可能な定義の一覧を開きます。 使用可能な定義 ポリシー定義の一覧で "マネージド ディスクを使用していない VM の監査" 定義を検索し、そのポリシーを選択して、[追加] を選択します。 割り当て名 既定では、選択したポリシーの名前が使用されます。 名前は変更できますが、この例では既定の名前を使用します。 説明 必要に応じて、このポリシー割り当てに関する詳細を入力します。 ポリシーの適用 既定値は [有効] です。 詳細については、「強制モード」にアクセスしてください。 割り当て担当者 既定では、Azure にサインインしているユーザーです。 このフィールドは任意で、カスタム値を入力できます。 [次へ] を選択して、[詳細設定] タブ、[パラメーター] タブ、[修復] タブを表示します。 この例では変更は不要です。
タブ名 [オプション] 詳細設定 リソース セレクターとオーバーライドのオプションが含まれています。 パラメーター [基本] タブで選択したポリシー定義にパラメーターが含まれている場合、それらは [パラメーター] タブで構成されます。この例では、パラメーターは使用しません。 修正 マネージド ID を作成できます。 この例では、[マネージド ID を作成する] はオフになっています。
ポリシーまたはイニシアティブに deployIfNotExists 効果または modify 効果のいずれかを利用するポリシーが含まれている場合は、このチェックボックスをオンにする必要があります。 詳細については、マネージド IDおよび修復のアクセス制御のしくみにアクセスしてください。[次へ] を選択し、[コンプライアンス違反メッセージ] タブで、「仮想マシンはマネージド ディスクを使用する必要があります」のようなコンプライアンス違反メッセージを作成します。
このカスタム メッセージは、リソースが拒否されたときに表示されるほか、コンプライアンス違反のリソースについては、通常の評価時に表示されます。
[次へ] を選択し、[確認と作成] タブで、ポリシー割り当ての詳細を確認します。
[作成] を選択して、ポリシー割り当てを作成します。
準拠していないリソースを特定する
[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。 新しいポリシーの割り当ての準拠状態がアクティブになり、ポリシーの状態に関する結果を提供するまで、数分かかります。
[コンプライアンス状態] が [非準拠] になっている、準拠していないリソースがポリシー割り当てに表示されます。 詳細を取得するには、ポリシー割り当て名を選択して、[リソース コンプライアンス]を表示します。
既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。
リソースの状態 | 結果 | ポリシーの評価 | コンプライアンスの状態 |
---|---|---|---|
新機能か更新された機能か | Audit、Modify、AuditIfNotExist | True | 非準拠 |
新機能か更新された機能か | Audit、Modify、AuditIfNotExist | False | 対応 |
Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | True | 非準拠 |
Exists | Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist | False | 対応 |
DeployIfNotExist
効果および AuditIfNotExist
効果が非準拠であるためには、IF
ステートメントが TRUE
であり、存在条件が FALSE
である必要があります。 TRUE
の場合、IF
条件は、関連リソースの存在条件の評価をトリガーします。
リソースをクリーンアップする
ポリシー割り当ては、[コンプライアンス] または [割り当て]から削除することができます。
この記事で作成したポリシー割り当てを削除するには、次の手順に従います。
[ポリシー] ペインで、[コンプライアンス] を選択し、"マネージド ディスクを使用していない VM の監査" ポリシー割り当てを見つけます。
ポリシー割り当ての省略記号を選択し、[割り当ての削除] を選択します。
次のステップ
このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。
リソースのコンプライアンスを検証するポリシーの割り当て方法について詳しく学習するには、チュートリアルに進んでください。