Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ
今回の学習内容
◆「Azure Policyの作成手順」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure での ID とガバナンスの管理
◇対応するモジュール
Azure Policy を作成する
ポリシー定義を作成する
イニシアチブ定義を作成する
イニシアティブ定義のスコープを指定する
コンプライアンスを決定する
※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure での ID とガバナンスの管理「Azure Policy」
Azure Policyの作成手順
手順1:ポリシー定義を作成
◆ポリシー定義
・リソースを評価する条件と条件を満たす際に実行するアクションをJSON形式で記述
・種類
-用意された組み込みのポリシー定義
-独自のポリシー定義(作成やインポートが可能)
◆組み込みのポリシー定義(一例)
・許可されている仮想マシンSKU:デプロイできるVMのSKUを指定
・許可されている場所:リソースをデプロイできる場所を制限(geoコンプライアンス要件)
・リソースへのタグの追加:デプロイ時にタグを指定していない場合に、必要なタグと既定値を適用
◆独自のポリシー定義
・新しい定義を追加/作成可能
・GitHubからAzure Policyへのインポートも可能
・ 新しい定義はほぼ毎日サンプルリポジトリに追加される
手順2:イニシアティブ定義を作成
◆イニシアティブ定義
・1つ以上の関連するポリシー定義をグループ化したJSON形式の定義
・リソースがセキュリティ規則に準拠していることを確認可能
・ポリシー定義の管理と割り当てを簡素化
・種類
-用意された組み込みのイニシアティブ定義
-独自のイニシアティブ定義
◆組み込みのイニシアティブ定義(一例)
・セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査する
-安全ではないパスワードセキュリティ設定をされているマシンを監査
・Azure Monitorエージェントを実行しデータ収集ルールに関連付けるようにWindowsマシンを構成する
-Windows VM、仮想マシンスケールセット、Arcマシンの監視とセキュリティ保護を実施
-Azure Monitorエージェント拡張機能がデプロイされ、データ収集ルールにリソースが関連付けられる
・ISO 27001:2013
-情報セキュリティ管理システム(ISMS)を確立/実装/維持/継続的に改善するための要件の一部に対処
手順3:イニシアティブ定義のスコープを指定
・スコープ:定義が適用される範囲
⇒スコープによりポリシー割り当てを強制するリソース/リソースグループが決まる
・スコープは管理グループ/サブスクリプションから選択可能
・オプションとしてリソースグループも選択可能(省略可)
・除外:ポリシーの割り当てから除外するリソースを選択可能(省略可)
⇒スコープのレベルよりも一つ下のレベルで適用
⇒割り当てごとに個別に処理
手順4:コンプライアンスを決定
・コンプライアンス機能でスコープ内の既存のリソースに対して条件を評価
⇒該当した場合、そのリソースはポリシーに準拠していないと表示される
・Azure Portalには評価ロジックは表示されない
⇒コンプライアンスの状態の結果(対応/準拠していない)は表示
次の学習内容
◆Azure RBAC
学習内容をまとめたページの一覧