クイックスタート: Terraform を使用してポリシー割り当てを作成し、非準拠リソースを特定する

[アーティクル]
03/25/2024

Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。このクイックスタートでは、ポリシーの割り当てを作成して、マネージドディスクを使用していない仮想マシンを特定するプロセスについて順を追って説明します。

このプロセスを終了すると、サブスクリプション全体でマネージドディスクを使用していない仮想マシンを特定できるようになります。これらはポリシーの割り当てに "準拠していません"。

組み込みのポリシーまたはイニシアティブ定義を割り当てる場合、バージョンの参照は省略可能です。組み込み定義のポリシー割り当ては既定で最新バージョンになり、特に指定がない限り、マイナーバージョンの変更が自動的に継承されます。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
環境で Terraform バージョン 0.12.0 以上が構成されていること。手順については、「Azure Cloud Shell を使用して Terraform を構成する」を参照してください。
このクイックスタートでは、Azure CLI バージョン 2.13.0 以降を実行する必要があります。バージョンを確認するには、az --version を実行します。インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。

Terraform の構成、変数、および出力ファイルを作成する

このクイックスタートでは、ポリシーの割り当てを作成し、マネージドディスクを使用しない監査 VM 定義を割り当てます。このポリシー定義では、ポリシー定義で設定されている条件に準拠していないリソースが識別されます。

Terraform の構成、変数、および出力ファイルを構成します。 Azure Policy 用の Terraform リソースでは、Azure プロバイダーを使用します。

policy-assignment という名前の新しいフォルダーを作成し、ここにディレクトリを変更します。

次のコードを使用して main.tf を作成します。

注意

管理グループでポリシー割り当てを作成するには、azurerm_management_group_policy_assignment リソースを使用し、リソースグループには azurerm_resource_group_policy_assignment を使用し、サブスクリプションには azurerm_subscription_policy_assignment リソースを使用します。

  provider "azurerm" {
    features {}
  }

  terraform {
  required_providers {
      azurerm = {
          source = "hashicorp/azurerm"
          version = ">= 2.96.0"
      }
    }
  }

  resource "azurerm_subscription_policy_assignment" "auditvms" {
  name = "audit-vm-manageddisks"
  subscription_id = var.cust_scope
  policy_definition_id = "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d"
  description = "Shows all virtual machines not using managed disks"
  display_name = "Audit VMs without managed disks assignment"
  }

次のコードを使用して variables.tf を作成します。
```
variable "cust_scope" {
    default = "{scope}"
}
```
スコープによって、ポリシー割り当てを強制するリソースまたはリソースのグループが決まります。スコープには、管理グループから個々のリソースまで指定できます。宣言されたリソースに基づいて、{scope} を次のいずれかのパターンに置き換えてください。
- サブスクリプション: /subscriptions/{subscriptionId}
- リソースグループ: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
- リソース: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/[{parentResourcePath}/]

次のコードを使用して output.tf を作成します。

output "assignment_id" {
    value = azurerm_subscription_policy_assignment.auditvms.id
}

Terraform を初期化してプランを作成する

Terraform を初期化して、必要なプロバイダーをダウンロードしてから、プランを作成します。

terraform init コマンドを実行します。このコマンドによって、Terraform 構成で Azure リソースを作成するために必要な Azure モジュールがダウンロードされます。
```
terraform init
```
Azure CLI で Terraform に対して認証します。詳細については、「Azure プロバイダー: Azure CLI を使用した認証」を参照してください。
```
az login
```
terraform plan コマンドと out パラメーターを使用して実行プランを作成します。
```
terraform plan -out assignment.tfplan
```
注意

実行プランの永続化とセキュリティの詳細については、「Terraform Plan: セキュリティ警告」を参照してください。

Terraform 実行プランを適用する

実行プランを適用します。

terraform apply コマンドを実行し、作成済みの assignment.tfplan を指定します。

terraform apply assignment.tfplan

terraform apply コマンドの実行を示すスクリーンショット。結果として作成されるリソースが表示されています。

"Apply complete! Resources: 1 added, 0 changed, 0 destroyed." というメッセージが表示され、ポリシー割り当てが作成されます。 outputs.tf ファイルを定義したため、assignment_id も返されます。

準拠していないリソースを特定する

この新しい割り当てに準拠していないリソースを表示するには、terraform apply によって返される assignment_id を使用します。これを指定して次のコマンドを実行し、非準拠リソースのリソース ID を取得します。ID は JSON ファイルに出力されます。

armclient post "/subscriptions/<subscriptionID>/providers/Microsoft.PolicyInsights/policyStates/latest/queryResults?api-version=2019-10-01&$filter=IsCompliant eq false and PolicyAssignmentId eq '<policyAssignmentID>'&$apply=groupby((ResourceId))" > <json file to direct the output with the resource IDs into>

次のような結果が返されます。

{
  "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest",
  "@odata.count": 3,
  "value": [
    {
      "@odata.id": null,
      "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
      "ResourceId": "/subscriptions/<subscriptionId>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachineId>"
    },
    {
      "@odata.id": null,
      "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
      "ResourceId": "/subscriptions/<subscriptionId>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachine2Id>"
    },
    {
      "@odata.id": null,
      "@odata.context": "https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.PolicyInsights/policyStates/$metadata#latest/$entity",
      "ResourceId": "/subscriptions/<subscriptionName>/resourcegroups/<rgname>/providers/microsoft.compute/virtualmachines/<virtualmachine3ID>"
    }
  ]
}

この結果は、普段 Azure Portal ビューの [準拠していないリソース] に一覧表示される内容に相当します。

リソースをクリーンアップする

作成された割り当てを削除するには、Azure CLI を使用するか、terraform destroy を使用して Terraform 実行プランを元に戻します。

Azure CLI

az policy assignment delete --name 'audit-vm-manageddisks' --scope '/subscriptions/<subscriptionID>/<resourceGroupName>'

Terraform
```
terraform destroy
```

次のステップ

このクイックスタートでは、ポリシー定義を割り当てて、Azure 環境内で準拠していないリソースを特定しました。

新しいリソースが準拠していることを検証するためのポリシーの割り当てについて詳しく学習するには、次のチュートリアルに進んでください。

チュートリアル:コンプライアンスを強制するポリシーの作成と管理

次の方法で共有