■はじめに

引き続きAZ-900受験のためのアウトプットです。

Azureの基礎、前回の続きです。

■内容の要点を整理

以下の内容から座学で拾えるセクションのみ要約します。

docs.microsoft.com

今回は、Azure Policy でインフラストラクチャの標準を適用して監視する編です。

■Azure Policy

どんなサービス？

ポリシーの作成、割り当て、管理に使用する Azure サービス

例：4 個を超える CPU を搭載した VM の作成を禁止するポリシー

RBACとは似てるけど異なる

RBAC＝ユーザ操作に焦点
Azure Policy ＝デプロイ中のプロパティに焦点

Azure Policy は既定で許可し、明示的に拒否するシステム

ポリシーの定義

主に５つあるよ

• 許可されているストレージ アカウントの SKU
• 使用できるリソースの種類
• 許可されている場所
• 許可されている仮想マシン SKU
• 許可されていないリソースの種類

ポリシーを適用する場合はAzure Portalか、PolicyInsights拡張子をつけてPowerShellで実行
適用状況は「リソース コンプライアンス」タブで確認できる

ポリシーの割り当て

割り当て対象は、完全なサブスクリプションからリソース グループまで
ポリシーを割り当てるには、Azure portal、PowerShell、または Azure CLI を使用

ポリシー規則が一致したときに発火するポリシーの効果には以下の５つがあるよ

• Deny（失敗）
• Disabled（無効）
• Append（パラメーター/フィールドを追加）
• Audit、AuditIfNotExists（警告のみ）
• DeployIfNotExists（デプロイを実行）

ポリシーの評価をする場合、Azure Policyセクションで確認可能
最後にポリシーを削除する場合、Remove-AzPolicyAssignmentを使用

■イニシアチブを使用してポリシーを整理する

イニシアチブ定義って？
一連のポリシー定義またはポリシー定義のグループ

例：
１：Azure Security Center で利用可能なすべてのセキュリティ推奨事項を監視する
２：暗号化されていない SQL データベースを Security Center で監視する
３：OS の脆弱性を Security Center で監視する
４：Endpoint Protection の不足を Security Center で監視する

■複数の Azure サブスクリプション全体のアクセス、ポリシー、コンプライアンスを管理する

Azure 管理グループって？
"複数の" Azure サブスクリプション全体のアクセス、ポリシー、コンプライアンスを管理するためのコンテナー

管理グループの使用を開始

Azure Portalで[管理グループの使用を開始します]を選択
作成した管理グループは、[テナント ルート グループ] の下に表示

管理グループに関する重要な事実

• 組織内のすべての Azure AD ユーザーが作成化
• 1 つの Azure AD 組織で 10,000 の管理グループ
• 最大 6 つの深さのレベルをサポート
• それぞれ多数の子を持つことが可能
• ルート管理グループに自動的に追加

■Azure Blueprints を使用して標準リソースを定義する

Azure Blueprintsって？
中央の情報技術部門は、組織の標準、パターン、要件を実装および順守した反復可能な一連の Azure リソース

開発チームは新しい環境を迅速に構築してデプロイすることが可能
リソース テンプレートを宣言することによる調整

• ロールの割り当て
• ポリシーの割り当て
• Azure Resource Manager テンプレート
• リソース グループ

これらを以下の３つの手順で構成するよ

• Azure ブループリントを作成する
• ブループリントを割り当てる
• ブループリントの割り当てを追跡する

Resource Manager テンプレートとの違い

Azure Blueprints
＝個々のアーティファクトの種類をまとめたパッケージ

Resource Manager
＝機能は同じだが Azure にネイティブに存在しないドキュメント

Azure Policyとの違い

Azure Blueprints
＝連の標準、パターン、要件を作成するためのパッケージまたはコンテナー

Azure Policy
＝数多くのアーティファクトの 1 つとしてブループリント定義に含めることが可能

■コンプライアンス マネージャーを使用してサービスのコンプライアンスを調べる

リソースをどのように管理しているか、以下の４つのソースで説明しているよ

• Microsoft プライバシーに関する声明
  個人データを処理する方法の開示

• Microsoft セキュリティ センター
  セキュリティ、プライバシー、コンプライアンス、および透明性に関する情報サイト

• Service Trust Portal
  Compliance Manager サービスをホスト
  Trust Center の付属機能あり

• コンプライアンス マネージャー
  リスク評価ダッシュボード

　飽くまで改善のための推奨事項
　有効性を評価することは、各組織の責任で行う必要あり

■サービス正常性を監視する

主要サービスは２つあるよ

• Azure Monitor
• Azure Service Health

Azure Monitor

主に以下の５つのデータ ソースから収集するよ

• アプリケーション監視データ
• ゲスト OS 監視データ
• Azure リソース監視データ
• Azure サブスクリプション監視データ
• Azure テナントの監視データ

Azure Monitorには、さらに以下のような機能やツールが入っているよ

• Application Insights
  Web アプリケーションの監視サービス

• コンテナーに対する Azure Monitor
  コンテナー ワークロードのパフォーマンスを監視するサービス

• Azure Monitor for VMs
  Azure VM の大規模な監視サービス
  
  またアラート条件への応答として以下のような通知や自動プロセス起動を行うよ

• アラート

• 自動スケーリング

またデータの可視化も行うよ

• ダッシュボード
• ビュー
• ower BI

Azure Service Health

次のようなビューを表示してくれるよ

• Azure の状態
  Azure サービスの正常性の状態をグローバルに確認できるビュー

• Service Health
  Azure サービスの状態を追跡するカスタマイズ可能なダッシュボード
  　進行中のサービスの問題
  　次に予定されている定期的なメンテナンス
  　関連する正常性の勧告
  　　等々

• Resource Health
  Azure サービスのイシューによってリソースが影響を受けているかの情報とサポート
  
  

---

結構覚える系が多いので、もう少し繰り返しチェックする必要ある感じです。
本日はここまで。

ではでは。