Azure Policy の使用に関するエラーをトラブルシューティングする
ポリシー定義を作成したり、SDK を操作したり、Kubernetes 用の Azure Policy アドオンを設定したりするときに、エラーが発生することがあります。 この記事では、発生する可能性があるさまざまな一般的エラーについて説明し、その解決方法を示します。
エラーの詳細を見つける
エラーの詳細の場所は、操作している Azure Policy の側面によって異なります。
- カスタム ポリシーを操作している場合は、Azure portal に移動し、リンティングによるスキーマに関するフィードバックを取得するか、結果のコンプライアンス データを確認して、リソースがどのように評価されたかを確認してください。
- さまざまな SDK を操作している場合は、SDK によって、関数が失敗した理由に関する詳細が提供されます。
- Kubernetes のアドオンを操作している場合は、クラスター内のログから開始します。
一般エラー
シナリオ:エイリアスが見つからない
問題
正しくないまたは存在しないエイリアスがポリシー定義で使用されています。 Azure Policy がエイリアスを使用して、Azure Resource Manager のプロパティにマップしています。
原因
正しくないまたは存在しないエイリアスがポリシー定義で使用されています。
解像度
まず、Resource Manager プロパティにエイリアスがあることを確認します。 使用可能なエイリアスを検索するには、Visual Studio Code 用の Azure Policy 拡張機能、または SDK にアクセスします。 Resource Manager プロパティのエイリアスが存在しない場合は、サポート チケットを作成します。
シナリオ:評価の詳細が最新ではない
問題
リソースが "Not Started (未開始) " 状態であるか、またはコンプライアンスの詳細が最新ではありません。
原因
新しいポリシーまたはイニシアチブの割り当ては、適用されるまでに約 5 分かかります。 既存の割り当てのスコープ内の新規または更新されたリソースは、約 15 分で使用できるようになります。 標準のコンプライアンス スキャンは、24 時間ごとに行われます。 詳細については、「評価のトリガー」を参照してください。
解像度
まず、評価が完了して Azure portal または SDK でコンプライアンスの結果を利用できるようになるまで、適切な時間待機します。 Azure PowerShell または REST API を使用して新しい評価スキャンを開始するには、「オンデマンドの評価スキャン」を参照してください。
シナリオ:コンプライアンスが想定どおりでない
問題
リソースが、そのリソースに対して想定されている Compliant または Not-Compliant のいずれの評価状態でもありません。
原因
リソースがポリシー割り当ての正しいスコープに含まれていないか、ポリシー定義が意図したとおりに動作していません。
解決方法
ポリシー定義をトラブルシューティングするには、次のことを実行します。
まず、評価が完了して Azure portal または SDK でコンプライアンスの結果を利用できるようになるまで、適切な時間待機します。
Azure PowerShell または REST API を使用して新しい評価スキャンを開始するには、「オンデマンドの評価スキャン」を参照してください。
割り当てパラメーターと割り当てスコープが正しく設定されていることを確認します。
ポリシー定義モードを確認します。
- モードは、すべてのリソースの種類に対して
allである必要があります。 - ポリシー定義によってタグや場所が確認される場合は、モードは
indexedである必要があります。
- モードは、すべてのリソースの種類に対して
ポリシー割り当ての準拠に
0/0リソースが表示されている場合は、割り当てスコープ内で適用できると判断されたリソースはありません。 ポリシー定義と割り当てスコープの両方を確認してください。準拠していると予期されていた非準拠のリソースについては、非準拠である理由の特定に関するページを参照してください。 定義と、評価されたプロパティ値を比較することで、リソースが非準拠であった理由がわかります。
- 対象の値が間違っている場合は、ポリシー定義を修正します。
- 現在の値が間違っている場合は、
resources.azure.comを介してリソース ペイロードを検証します。
RegEx 文字列パラメーターをサポートするリソース プロバイダー モード定義 (
Microsoft.Kubernetes.Dataや組み込み定義の "コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある" など) の場合、RegEx 文字列パラメーターが正しいことを確認します。その他の一般的な問題と解決策については、トラブルシューティング: 適用が想定どおりでないに関する記事を参照してください。
複製してカスタマイズした組み込みのポリシー定義またはカスタム定義で引き続き問題が発生する場合は、問題が適切に転送されるように、"ポリシーの作成" についてサポート チケットを作成してください。
シナリオ:適用が想定どおりでない
問題
Azure Policy によって処理されると予想されているリソースが処理されておらず、Azure アクティビティ ログにエントリがありません。
原因
ポリシー割り当ては、Disabled の enforcementMode 設定に対して構成されています。 enforcementMode が無効になっていると、ポリシー効果は適用されず、アクティビティ ログにエントリはありません。
解決方法
ポリシー割り当ての適用をトラブルシューティングするには、次のことを実行します。
まず、評価が完了して Azure portal または SDK でコンプライアンスの結果を利用できるようになるまで、適切な時間待機します。
Azure PowerShell または REST API を使用して新しい評価スキャンを開始するには、「オンデマンドの評価スキャン」を参照してください。
割り当てパラメーターと割り当てスコープが正しく設定されていること、および enforcementMode が "有効" になっていることを確認します。
ポリシー定義モードを確認します。
- モードは、すべてのリソースの種類に対して
allである必要があります。 - ポリシー定義によってタグや場所が確認される場合は、モードは
indexedである必要があります。
- モードは、すべてのリソースの種類に対して
リソースのペイロードがポリシー ロジックと一致することを確認します。 これは、HTTP Archive (HAR) トレースをキャプチャするか、Azure Resource Manager テンプレート (ARM テンプレート) のプロパティを確認することによって実行できます。
その他の一般的な問題と解決策については、トラブルシューティング: コンプライアンスが想定どおりでないに関する記事を参照してください。
複製してカスタマイズした組み込みのポリシー定義またはカスタム定義で引き続き問題が発生する場合は、問題が適切に転送されるように、"ポリシーの作成" についてサポート チケットを作成してください。
シナリオ:Azure Policy による拒否
問題
リソースの作成または更新が拒否されました。
原因
新しいまたは更新されたリソースのスコープへのポリシー割り当てが、Deny 効果が適用されているポリシー定義の条件を満たしています。 これらの定義を満たしているリソースは、作成または更新できません。
解像度
拒否されたポリシー割り当てのエラー メッセージには、ポリシー定義とポリシー割り当て ID が含まれています。 メッセージ内のエラー情報が欠落している場合は、アクティビティ ログでも確認できます。 この情報を使用して、リソースの制限を理解し、許可された値に一致するように要求のリソース プロパティを調整します。
シナリオ: 複数のリソースの種類が定義の対象とされている
問題
複数のリソースの種類を含むポリシー定義が、作成時または更新時に次のエラーで検証に失敗します。
The policy definition '{0}' targets multiple resource types, but the policy rule is authored in a way that makes the policy not applicable to the target resource types '{1}'.
原因
ポリシー定義ルールに、ターゲット リソースの種類によって評価されない 1 つ以上の条件が含まれています。
解決方法
エイリアスが使用されている場合、その前に種類の条件を追加することによって、そのエイリアスが属しているリソースの種類に対してのみエイリアスが評価されるようにします。 別の方法としては、ポリシー定義を複数の定義に分割して、複数のリソースの種類をターゲットにしないようにします。
シナリオ: サブスクリプションの上限超過
問題
Azure portal のコンプライアンス ページのエラー メッセージは、ポリシー割り当てのコンプライアンス取得時に表示されます。
原因
要求において選択範囲の下、サブスクリプションの数が上限の 5000 サブスクリプションを超過しました。 コンプライアンスの結果が部分的に表示される場合があります。
解決方法
子サブスクリプションを少なくし、より詳細な範囲を選択すると、完全な結果が表示されます。
テンプレート エラー
シナリオ:ポリシーでサポートされる関数がテンプレートによって処理される
問題
Azure Policy では、ARM テンプレートの関数と、ポリシー定義でのみ使用できる関数が多数サポートされています。 Resource Manager は、ポリシー定義の一部としてではなく、デプロイの一部としてこれらの機能を処理します。
原因
parameter() や resourceGroup() などのサポートされている関数を使用すると、ポリシー定義や Azure Policy エンジンの関数に処理させる代わりに、デプロイ時に関数の処理結果が得られます。
解決方法
関数をポリシー定義の一部として渡すには、プロパティが [[resourceGroup().tags.myTag] のようになるように [ で文字列全体をエスケープします。 このエスケープ文字により、Resource Manager でテンプレートが処理されるときに値は文字列として扱われます。 その後、関数は Azure Policy によってポリシー定義に配置され、それにより、予期したとおりに動的になります。 詳細については、「Azure Resource Manager テンプレートの構文と式」を参照してください。
Kubernetes インストール エラー用アドオン
シナリオ:パスワード エラーが原因で、Helm Chart を使用したインストールが失敗する
問題
helm install azure-policy-addon コマンドが失敗し、次のいずれかのエラーが返されます。
!: event not foundError: failed parsing --set data: key "<key>" has no value (cannot end with ,)
原因
生成されたパスワードにコンマ (,) が含まれており、ここで Helm Chart が分割されています。
解決方法
helm install azure-policy-addon を実行するときに、パスワード値のコンマ (,) を円記号 (\) でエスケープします。
シナリオ:名前が既に存在するため、Helm Chart を使用したインストールが失敗する
問題
helm install azure-policy-addon コマンドが失敗し、次のエラーが返されます。
Error: cannot re-use a name that is still in use
原因
azure-policy-addon という名前の Helm Chart は、既にインストールされているか、部分的にインストールされています。
解像度
Kubernetes 用の Azure Policy アドオンを削除する指示に従ってから、helm install azure-policy-addon コマンドを再実行します。
シナリオ:Azure 仮想マシンのユーザー割り当て ID がシステム割り当てマネージド ID に置き換えられる
問題
マシン内の監査設定にゲスト構成ポリシーのイニシアチブを割り当てると、マシンに割り当てられていたユーザー割り当てマネージド ID は割り当てられなくなります。 システム割り当てマネージド ID のみが割り当てられます。
原因
以前にゲスト構成の DeployIfNotExists 定義で使用されていたポリシー定義により、システム割り当て ID がマシンに割り当てられましたが、またユーザー割り当て ID の割り当ても削除されました。
解決方法
以前にこの問題の原因となった定義は、"非推奨" と表示され、ユーザー割り当てマネージド ID を削除せずに前提条件を管理するポリシー定義に置き換えられています。 手動操作が必要です。 "非推奨" とマークされている既存のポリシー割り当てをすべて削除し、元のものと同じ名前を持つ、更新された前提条件ポリシー イニシアチブとポリシー定義に置き換えてください。
詳細な説明については、ゲスト構成の監査ポリシーに関してリリースされた重要な変更に関するブログ記事を参照してください。
Kubernetes 一般的エラー用アドオン
シナリオ:エグレス制限のため、アドオンは Azure Policy サービス エンドポイントに接続できません
問題
アドオンは Azure Policy サービス エンドポイントに接続できず、次のいずれかのエラーが返されます。
failed to fetch token, service not reachableError getting file "Get https://raw.githubusercontent.com/Azure/azure-policy/master/built-in-references/Kubernetes/container-allowed-images/template.yaml: dial tcp 151.101.228.133.443: connect: connection refused
原因
この問題は、クラスター エグレスがロック ダウンされている場合に発生します。
解決方法
次の記事に記載されているドメインとポートが開いていることを確認します。
シナリオ:aad-pod-identity の構成のため、アドオンは Azure Policy サービス エンドポイントに接続できない
問題
アドオンは Azure Policy サービス エンドポイントに接続できず、次のいずれかのエラーが返されます。
azure.BearerAuthorizer#WithAuthorization: Failed to refresh the Token for request to https://gov-prod-policy-data.trafficmanager.net/checkDataPolicyCompliance?api-version=2019-01-01-preview: StatusCode=404adal: Refresh request failed. Status Code = '404'. Response body: getting assigned identities for pod kube-system/azure-policy-8c785548f-r882p in CREATED state failed after 16 attempts, retry duration [5]s, error: <nil>
原因
このエラーは add-pod-identity がクラスターにインストールされていて、kube-system ポッドが aad-pod-identity で除外されていない場合に発生します。
Azure Instance Metadata エンドポイントへの呼び出しをインターセプトするように、aad-pod-identity コンポーネントの Node Managed Identity (NMI) ポッドによりノードの iptables が変更されます。 この設定の場合、Metadata エンドポイントに要求が行われると、ポッドで aad-pod-identity が使用されていない場合でも、NMI によって要求がインターセプトされます。 CustomResourceDefinition (CRD) に定義されているラベルに一致するポッドから発信された Metadata エンドポイントに対する要求は、NMI で処理せずにプロキシ処理する必要があることを aad-pod-identity に通知するように、AzurePodIdentityException CRD を構成できます。
解決方法
AzurePodIdentityException CRD を構成することによって、kube-system 名前空間内の kubernetes.azure.com/managedby: aks ラベルを持つシステム ポッドを aad-pod-identity で除外します。
詳細については、特定のポッドまたはアプリケーションでの Azure Active Directory (Azure AD) ポッド ID の無効化に関する記事を参照してください。
例外を構成するには、この例に従ってください。
apiVersion: "aadpodidentity.k8s.io/v1"
kind: AzurePodIdentityException
metadata:
name: mic-exception
namespace: default
spec:
podLabels:
app: mic
component: mic
---
apiVersion: "aadpodidentity.k8s.io/v1"
kind: AzurePodIdentityException
metadata:
name: aks-addon-exception
namespace: kube-system
spec:
podLabels:
kubernetes.azure.com/managedby: aks
シナリオ:リソース プロバイダーが登録されていない
問題
アドオンは Azure Policy サービス エンドポイントに接続できますが、アドオン ログに次のいずれかのエラーが表示されます。
The resource provider 'Microsoft.PolicyInsights' is not registered in subscription '{subId}'. See https://aka.ms/policy-register-subscription for how to register subscriptions.policyinsightsdataplane.BaseClient#CheckDataPolicyCompliance: Failure responding to request: StatusCode=500 -- Original Error: autorest/azure: Service returned an error. Status=500 Code="InternalServerError" Message="Encountered an internal server error.
原因
"Microsoft.PolicyInsights" リソース プロバイダーが登録されていません。 アドオンによってポリシー定義が取得され、コンプライアンス データが返されるためには、登録されている必要があります。
解決方法
"Microsoft.PolicyInsights"リソース プロバイダーをクラスター サブスクリプションに登録します。 手順については、リソース プロバイダーの登録に関するページを参照してください。
シナリオ:サブスクリプションが無効
問題
アドオンは Azure Policy サービス エンドポイントに接続できますが、次のエラーが表示されます。
The subscription '{subId}' has been disabled for azure data-plane policy. Please contact support.
原因
このエラーは、サブスクリプションに問題があると判断され、このサブスクリプションをブロックするために機能フラグ Microsoft.PolicyInsights/DataPlaneBlocked が追加されたことを示しています。
解決方法
この問題を調査して解決するには、機能チームにお問い合わせください。
シナリオ: "ゲスト構成" カテゴリの定義を Azure portal から複製できない
問題
Azure portal のポリシー定義ページからカスタム ポリシー定義を作成しようと、[定義を複製する] ボタンを選択します。 そのポリシーを割り当てた後、ゲスト構成の割り当てリソースが存在しないために、マシンが "非準拠" になっていることに気付きます。
原因
ゲスト構成割り当てリソースを作成する際、ポリシー定義に追加されたカスタム メタデータが使用されます。 Azure portal の "定義を複製する" アクティビティでは、カスタム メタデータがコピーされません。
解像度
ポータルではなく Policy Insights API を使用してポリシー定義を複製してください。 次の PowerShell サンプルにその方法を示します。
# duplicates the built-in policy which audits Windows machines for pending reboots
$def = Get-AzPolicyDefinition -id '/providers/Microsoft.Authorization/policyDefinitions/4221adbc-5c0f-474f-88b7-037a99e6114c' | % Properties
New-AzPolicyDefinition -name (new-guid).guid -DisplayName "$($def.DisplayName) (Copy)" -Description $def.Description -Metadata ($def.Metadata | convertto-json) -Parameter ($def.Parameters | convertto-json) -Policy ($def.PolicyRule | convertto-json -depth 15)
シナリオ: 拒否ポリシーが割り当てられているにもかかわらず、接続エラー中に Kubernetes リソースが作成される
問題
Kubernetes クラスターの接続エラーが発生した場合、Gatekeeper のフェールオープン動作により、新しく作成または更新されるリソースの評価がバイパスされる可能性があります。
原因
GK のフェールオープン モデルは、設計上、コミュニティからのフィードバックに基づいて設計されています。 Gatekeeper のドキュメントでは、これらの理由について https://open-policy-agent.github.io/gatekeeper/website/docs/failing-closed#considerations で説明しています。
解決方法
上記のイベントでは、kube-apiserver によって提供されるアドミッション Webhook メトリックからエラー ケースを監視できます。 また、作成時に評価がバイパスされ、オブジェクトが作成された場合でも、Azure Policy コンプライアンスには、顧客へのフラグとして非準拠の報告が行われます。
上記に関係なく、このようなシナリオでは、Azure Policy はクラスター上の最後の既知のポリシーを保持し、ガードレールが機能するよう維持します。
次のステップ
お客様の問題がこの記事に掲載されていない場合、または解決できない場合は、次のいずれかのチャネルにアクセスしてサポートを受けてください。
- Microsoft Q&A を通じて、専門家からの回答を得る。
- @AzureSupport に問い合わせる。 この Twitter 上の Microsoft Azure 公式リソースは、Azure コミュニティを適切な回答、サポート、エキスパートに結び付けることによって、カスタマー エクスペリエンスを向上させます。
- それでもヘルプが必要な場合は、Azure サポート サイトにアクセスし、 [サポート リクエストの送信] を選択してください。