Azure Storage Discovery サービスをデプロイする

Azure Storage Discovery サービスをデプロイするには、いずれかのリソース グループに探索ワークスペース リソースを作成する必要があります。 このリソースを使用して、Microsoft Entra テナント全体でカバーするストレージ リソースと、それらのレポートをセグメント化する方法を定義します。 ワークスペースには、ストレージ リソースに関して必要な分析情報を取得するために使用できる事前構築済みのレポートが Azure portal に用意されています。

この記事の手順に従って、Azure Storage Discovery ワークスペース リソースを作成します。

ストレージ探索ワークスペースを作成する

ストレージ検出ワークスペースは、Azure portal、Azure PowerShell、または Azure CLI を使用して作成できます。

Azure Portal

次の図に示すように、[作成] を選択して、Azure portal で Azure Storage Discovery ワークスペース リソースを 作成 します。

探索ワークスペースを作成する サブスクリプション と リソース グループ を選択します。 次の表は、それぞれの要素の説明です。

要素	説明
Name	探索ワークスペース リソースの名前。
Description	任意。 探索ワークスペース リソースの説明。
Region	探索リソースが作成される Azure リージョン。1
Pricing plan	Storage Discovery の価格プラン。2

¹ 対象となるリージョンについては、「 Storage Discovery ワークスペースリージョン」を参照してください。 ² Storage Discovery の価格プランの詳細については、「 Storage Discovery の価格について」を参照してください。

workspaceRoots の定義

workspaceRoot は、Storage Discovery がストレージ アカウントのスキャンを開始する最上位レベルの Azure リソース識別子を指定します。 これらの識別子は通常、サブスクリプションまたはリソース グループであり、検出プロセスのルートとして機能します。 WorkspaceRoots は、分析のために Azure 資産の全体的なスコープと境界を定義します。

ワークスペースに含めるサブスクリプションやリソース グループを選択します。

注

• ワークスペースをデプロイするユーザーまたはサービス プリンシパルに、少なくとも指定された各ルートへの 閲覧者 アクセス権が付与されていることを確認します。
• 最大 100 個のリソース - サブスクリプションやリソース グループを 1 つのワークスペースに含めることができます。
• ワークスペースあたり 100 リソースの既定の制限を引き上げることができます。 Azure サポートに問い合わせてください。 この制限を引き上げる tenantID、SubscriptionID を指定します。

サブスクリプションまたはリソース グループをワークスペースに追加すると、サービスはアクセス チェックを実行して、ユーザーが追加されたリソースに Microsoft.Storage/storageAccounts/read していることを確認します。 次の図は、関連するステータス メッセージを含むアクセス チェックエラーの例を示しています。

追加されたリソースに Microsoft.Storage/storageAccounts/read がない場合は、workSpaceRoots からリソースを削除してワークスペースの作成を続行するか、アクセスの問題を解決して、もう一度やり直してください。

スコープを作成する

スコープは、定義済みの workspaceRoots 内のストレージ アカウントの論理グループです。 スコープを使用すると、タグとリソースの種類を使用してデータをフィルター処理および整理し、対象となる分析情報を有効にできます。 たとえば、個々の部門、環境、またはコンプライアンス ゾーンのスコープを作成できます。

Von Bedeutung

既定のスコープが自動的に追加されます。これには、workspaceRoots に追加されたサブスクリプションまたはリソース グループ内のすべてのストレージ アカウントが含まれます。

必要に応じて、このワークスペース リソースにタグを追加できます。 次に、[ 確認と作成] を選択します。 アクセス検証がまだ実行されている場合は、ワークスペース リソースをまだ作成できません。 このチェックが完了するのを待ってから問題を修正し、[ 作成] を選択して確認します。

注

サブスクリプションまたはリソース グループに対するアクセス チェックが成功しなかった場合、探索リソースの作成は失敗します。

アクセス チェックが正常に完了すると、次のサンプル イメージに示すようにリソースをデプロイできます。

Azure PowerShell

次の PowerShell スクリプトの変数を変更して、リソース グループ、ワークスペース名、場所を含めることで、Azure portal で Azure Storage Discovery ワークスペース リソースを作成します。 値が正しいことを確認し、Azure PowerShell コンソールでスクリプトを実行します。

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Azure CLI

CLI を使用して Azure Storage Discovery ワークスペース リソースを作成します。

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

必須のパラメーター

パラメーター	説明
リソースグループ	ワークスペースが作成されるリソース グループ。
名前	ワークスペースの名前。
位置	デプロイ用の Azure リージョン。
workspace-roots	ワークスペース ルートは、分析情報を取得するストレージ リソースを指定します。 この string[] には、サブスクリプション ID とリソース グループ ID の組み合わせを含めることができます。 これらのリソースの種類を混在させ、一致させることができます。 ワークスペースをデプロイする ID には、デプロイ時に一覧表示するすべてのリソースに 対するアクセス許可が必要 です。
スコープ	ワークスペースには複数のスコープを作成できます。 スコープを使用すると、ワークスペースがカバーするストレージ リソースをフィルター処理し、これらのスコープごとに異なるレポートを取得できます。 フィルター処理は、ストレージ リソースの ARM リソース タグに基づいています。 このプロパティは、JSON : tag key name の組み合わせまたは value のみのセクションを含む tag key names オブジェクトを受け取ります。 ストレージ リソースに一致する ARM リソース タグがある場合は、このスコープに含まれます。
sku	価格レベル (Free または Standard)。

省略可能なパラメーター

パラメーター	説明
説明	ワークスペースのオプションのメタデータ。

注

メトリックがレポートに表示され始めるまで、スコープの作成後最大 24 時間かかる場合があります。