Azure Policyを使って作成できる仮想マシンのサイズを制限する

2020-12-13Azure,Policy

Azure Policyを使うとAzure 上での操作を制限する事が出来ます。

• • • Azure Policy(マイクロソフト公式サイト)

Azure Policyの解説を読むと色々書いてあるのですが、自分はざっくりとルールに沿ったリソース作成を強制する事が出来る機能と思っています。アクセスできるかどうかはIAMで制御、リソースの作成ルールはポリシーだと思っています。

• • • ポリシーにはこういう効能がありそう
      
      • 間違って作ってはいけないリソース作成を防げる
      • 設定を強制する事が出来る。結果セキュリティの緩いリソースの作成を防げる
      • 画一的なリソース作成を強制する事で、リソース管理がしやすくする

Azure Policyではデフォルトでも多くの定義が用意されています。

今回はそのうちの1つである、許可されている仮想マシン サイズ SKUを設定してみました。

デフォルトにある定義を使ってAzure Policyを作成する

許可されている仮想マシン サイズ SKUというデフォルト定義を使って、作成できるAzure VMのサイズSKUを制限するポリシーを作成してみます。

• • • 今回定義で設定する内容
      • どの定義を使うかの選択
      • 割り当てでポリシーの適用範囲を設定
        • 適用するサブスクリプションやリソースグループの選択
        • 許可する仮想マシンのサイズ(SKU) を選択

１)ポリシーのメニューの作成にある定義を選択します。デフォルトのポリシーが多く表示されますので、検索にSKUと入力し絞り込みします。許可されている仮想マシン サイズ SKUという定義が表示されますのでクリックします。

２)ポリシー定義が表示されます。割り当てを選択しポリシー定義の設定を行っていきます。

３)ポリシーの割り当て画面が表示されます。スコープで本ポリシーを割り当てる範囲を決めます。

４)スコープの設定でポリシーを適用するサブスクリプションとリソースグループを選択します。設定すると基本のタブに戻るので次へをクリックします。

５)パラメーターのタブでは作成を許可する仮想マシンのサイズSKUを選択します。今回はBシリーズとDシリーズにチェックを入れて作成します。

６)修復のタブではマネージドIDの作成可否を選択します。今回はマネージドIDを作成しますにチェックを入れます。

７)確認および作成のタブで内容を確認し、問題がなければ作成ボタンをクリックします。

これでポリシーの割り当ては完了です。ポリシーの割り当てに表示されている事が確認出来ます。

作成したAzure ポリシーを確認する

実際にポリシーが適用されるのかを確認してみます。

仮想マシンの作成でポリシー適用される事を確認する

仮想マシンを作成してみます。今回はBシリーズとDシリーズのみを定義している為、Eシリーズを作成しようとすると検証に失敗になる事が確認出来ます。

エラーメッセージからもポリシーにより許可されてない事が確認出来ます。

仮想マシンのサイズ変更でポリシー適用される事を確認する

仮想マシンのサイズ変更してみます。サイズの変更をクリックします。

ログを見るとポリシーにより仮想マシンのサイズ変更に失敗している事が分かります。