Azure Resource Manager での Azure リソースの管理と整理
リソース グループの原則
リソース グループとは何か
・Azureでデプロイされているリソース用の論理コンテナー
・ソースはすべてリソースグループに属する必要がある
・1つのリソースが属することができるリソースグループは1つに限られる
・リソースグループを入れ子にすることはできない
・Azureリソースの管理と整理に役立てるために存在する
・用途、種類、場所が類似したリソースを配置することで、Azureで作成するリソースを整理することができる
・リソースグループを削除すると、中に含まれているリソースもすべて削除される
・ロールベースのアクセス制御(RBAC)のアクセス許可を適用するための範囲
リソースグループを利用して整理する
・一貫した命名規則
・理にかなった命名規則を使用する
・整理の原則
・リソース別、環境別、部署別 等々
・承認を対象とする整理
リソースグループはRBACの範囲であるため、それを管理する必要がある人別にリソースを整理
・ライフサイクルを対象とする整理
リソースグループを削除すると、その内部にあるすべてのリソースが削除される
非運用環境など、リソースを破棄する場合が多い領域で便利
・課金を対象とする整理
請求報告で使用する目的でリソースをグループ化する
Azure環境でコストがどのように分配されているのかを知りたければ、リソースグループ別にリソースをグループ化し、データを絞り込み、並べ替えることでコストの割り当てを理解できる
タグ付けを使用してリソースを整理する
タグとは
・テキストデータの名前と値を組み合わせたもの
・リソースに設定される標準のAzureプロパティに加え、自分のリソースだけに関する詳細を関連付けることができる
・1つのリソースには最大 50 個のタグを設定することができる
タグを使用して整理する
・グを使用すると、複数のリソースグループから関連リソースを取得できる
・リソースにタグを付けることは、リソースを監視し、何らかの影響を受けたリソースを追跡する目的にも役立つ
・監視システムのアラートにタグデータを組み込むことで影響を受ける人を正確に知ることができる
ポリシーを使用して基準を適用する
・Azure Policyとは
・ポリシーの作成、割り当て、管理に使用できるサービス
・リソースが従う必要がある規則を適用して強制する
・リソースが作成されるときに規則を強制したり、既存のリソースの有効性を確認し、規則に従っていることを判断したりする
ロールベースのアクセス(RBAC)制御を使用したリソースのセキュリティ保護
RBACとは
・Azureリソースに対してきめ細かいアクセス管理を提供することで、業務の遂行に必要な特定の権限をユーザーに付与できるようにする
・RBACはコアサービスと見なされ、すべてのサブスクリプションレベルに無料で含まれる
・RBACを使用してできること
・あるユーザーにサブスクリプション内のVMの管理を許可し、別のユーザーに仮想ネットワークの管理を許可する
・データベース管理者(DBA)グループにサブスクリプション内のSQLデータベースの管理を許可する
・あるユーザーに、VM、Webサイト、仮想サブネットなど、リソースグループ内のすべてのリソースの管理を許可する
・あるアプリケーションに、リソースグループ内のすべてのリソースへのアクセスを許可する
・アクセスに許可モデルが使用される
RBACのベストプラクティス
・チーム内で職務を分離し、職務に必要なアクセス許可のみをユーザーに付与する
・特定のスコープで特定の操作のみを許可することができます。
・アクセス制御戦略を計画する場合は、業務を遂行するのに必要な最低限の特権をユーザーに付与する
・リソースロックを使用して、重要なリソースが確実に変更されたり削除されたりすることがないようにする
リソースロックを使用してリソースを保護する
リソースロックとは
・変更または削除を阻止する目的であらゆるリソースに適用できる設定
・[削除] か [読み取り専用] を設定できる
・リソースロックはサブスクリプション、リソース グループ、個別リソースに適用できる
・上位で適用されている場合、下位に継承される
・リソースロックはRBACアクセス許可に関係なく適用される