AZ-900勉強中のririです。
IT系とはいえ、普段Azureに触れる機会がほとんどないので、
勉強中に学んだ単語をメモしていこうと思います。
今日はガバナンスについてまとめます。
8月に無事試験に合格しました^^ 勉強記録・合格体験記はこちらから↓
ガバナンスのイメージ
ガバナンス関連用語一覧
サービス名 | 説明 |
---|---|
AzurePolicy | 自社が定めたポリシーに準拠したリソースの管理を行うことができる。 ポリシー違反の防止と、コンプライアンス準拠の評価の両方を行うことができる。 |
RBAC | Role-based access control。利用者のロール毎にアクセス権を制限すること。 |
ロック | 操作ミスを防ぐための機能。誤った変更を防止するための読み取り専用ロックと、削除を防止するための削除ロックがある。 |
タグ | リソースの分類や集計をするために、利用目的毎の付箋(名前と値)をつけることができる機能。Azure CostManagementではタグ毎にコスト集計ができる。 |
Azure Blue Prints(ブループリント) | 複数のPolicyやRBACをテンプレート化して適用できる仕組み。 |
シャドーITなんて言葉もありますが、
組織でクラウドを利用する際にルールに則って正しく使ってもらうには
こういったガバナンス機能が重要になります。
そのほか覚えておくべきこと
ポリシー
- 設定前の環境には影響は与えない
- リソースのデプロイ時に必要なタグを自動的に適用するポリシーを作ることでタグづけを自動化することもできる
イニシアティブ
- 複数のポリシーをまとめる機能
- 同じサブスクリプションにあるポリシーのみを含めることができる
ロック
- 複数のロックが適用される場合、最も厳しいロックが適用される
- ロックはRBACより優先される
- 特定のユーザやロールではなく、全てのユーザやロールに適用される
Azure Blue Prints
- Owner(所有者)、Contributer(共同作成者)、Blueprint Contributer(ブループリント共同作成者)、BlueprintOperator(ブループリント作業者)のロールがある。
Azureロール | 説明 |
---|---|
Owner | 全ての操作が可能(ブループリントの作成や削除、リソースの作成、ロールの割当が可能) |
Contributer | ブループリントの作成や削除、リソースの作成はできるが、ロールの割当はできない |
Blueprint Contributer | ブループリントの作成はできるが、ロールの割当はできない |
BlueprintOperator | すでに作成済みのブループリントを割り当てることはできるが、新規にブループリントの作成はできない |
練習問題
- Vnetの作成を許可するユーザを制御する
にはRBACを用いる
↓
↓
Yes
- サブスクリプション内にVMを作成されない
ようにするにはロックを用いるのが有効である
↓
↓
No(ポリシーが正解) - Azure BluePrintが更新されると
自動的に割り当てが更新される
↓
↓
No - Azure BluePrintの割り当てが解除されると
リソースはそのまま残るが、
BluePrintのロックは解除される
↓
↓
Yes - Azure ポリシーは適用前の環境には
影響を与えない
↓
↓
Yes
AZ900関連のその他の記事
今回勉強する中で、わからない用語やイメージを
まとめたのでよろしければご覧ください^^