Azureの基礎をざっと確認する Azure Resource Manager での Azure リソースの管理と整理
■はじめに
引き続きAZ-900受験のためのアウトプットです。
Azureの基礎、前回の続きです。
ちょっと仕事のアウトプットを優先していたため時間が空いてしまいました。
やっていきましょう。残り後2つとなります。
■内容の要点を整理
以下の内容から座学で拾えるセクションのみ要約します。
今回はAzure Resource Manager での Azure リソースの管理と整理編です。
■リソースグループの概念
Azureで作成されるあらゆるものが「リソース」
これらを論理的にグルーピングしたものが「リソースグループ」
リソースはライフサイクル別に整理すると便利だよ
これをまとめるのにリソースグループを使うと良いよ
アクセス許可もリソースグループに対して行うとまとめて制御できて便利だよ
リソースグループの作り方
以下の5つがあるよ
- Azure Portal
- Azure PowerShell
- Azure CLI
- テンプレート
- Azure SDK
リソースグループでの整理の仕方
- 一貫した命名規則
- 整理の原則
- コアインフラストラクチャでまとめる方法
- 本番、QA、開発などで分ける方法
- 組織(マーケ、財務、人事、等々)で分ける方法
- 上記の2つの合わせ技
- 承認を対象とする整理
- ライフサイクルを対象とする整理
- 課金を対象とする整理
結構自由にできるよ!
タグ付けでの整理の仕方
詳細情報を付与できるよ
1つのタグ名に最大512文字、1つのリソースに最大50個まで付けられるよ
ストレージアカウントには最大128文字、タグの値には一律256文字の制限があるよ
あとクラシックリソースにはタグづけできないよ!
タグの便利な利用方法として、タグでのグルーピングができるよ
また自動化でもよく使われるよ
例えばタグにshutdown:6PMとか付けておいて、このタグ値をジョブに食わせて実行することが可能だよ
ポリシーを使用して基準を適用する
リソースグループに対しての整理が便利なのはわかったけど、このままじゃ確実には適用されない
なのでAzure Policyを適用させよう!
例えばポリシーを使って「タグの適用を強制させる」とか
ポリシーを作成し、リソースグループにポリシーを適用させればOK
これで試しにタグなしでリソースを作ろうとするとエラーを返すようになるはず
他にもポリシーを使用して
と言ったことも可能
ロールベースのアクセス制御を使用したリソースのセキュリティ保護
ポリシーを使用して社内標準を作ることができるようになったら、次にセキュリティの制御を行う必要があるよ
リソースグループに対してRBACを使って
- 別のユーザへの仮想ネットワークの管理許可
- DBAグループへのデータベース管理許可
- 全てのリソースへの管理許可
- 特定アプリケーションへのアクセス許可
これらを行おう!
ちなみにRBACのベストプラクティスは以下だよ
- チーム内で職務分離して必要なアクセス権に絞る
- 業務に必要な最低限の特権のみにする
- リソースロックスする
リソース ロックを使用してリソースを保護する
変更や削除を阻止するための機能
削除と読み込み専用の2つがあって
- 削除 = 削除以外の権限はある
- 読み込み専用 = 読み込み権限のみある
Azure Portalだと「ロック」から設定可能だよ
削除・変更で著しく影響があるリソースはロックしておこう!
今日はここまで。
ではでは。