Azure Policyを使って作成できる仮想マシンのサイズを制限する

Azure Policyを使うとAzure 上での操作を制限する事が出来ます。

Azure Policyの解説を読むと色々書いてあるのですが、自分はざっくりとルールに沿ったリソース作成を強制する事が出来る機能と思っています。アクセスできるかどうかはIAMで制御、リソースの作成ルールはポリシーだと思っています。

      • ポリシーにはこういう効能がありそう
        • 間違って作ってはいけないリソース作成を防げる
        • 設定を強制する事が出来る。結果セキュリティの緩いリソースの作成を防げる
        • 画一的なリソース作成を強制する事で、リソース管理がしやすくする

Azure Policyではデフォルトでも多くの定義が用意されています。

今回はそのうちの1つである、許可されている仮想マシン サイズ SKUを設定してみました。

スポンサーリンク

デフォルトにある定義を使ってAzure Policyを作成する

許可されている仮想マシン サイズ SKUというデフォルト定義を使って、作成できるAzure VMのサイズSKUを制限するポリシーを作成してみます。

      • 今回定義で設定する内容
        • どの定義を使うかの選択
        • 割り当てでポリシーの適用範囲を設定
          • 適用するサブスクリプションやリソースグループの選択
          • 許可する仮想マシンのサイズ(SKU) を選択

1)ポリシーのメニューの作成にある定義を選択します。デフォルトのポリシーが多く表示されますので、検索にSKUと入力し絞り込みします。許可されている仮想マシン サイズ SKUという定義が表示されますのでクリックします。

2)ポリシー定義が表示されます。割り当てを選択しポリシー定義の設定を行っていきます。

3)ポリシーの割り当て画面が表示されます。スコープで本ポリシーを割り当てる範囲を決めます。

4)スコープの設定でポリシーを適用するサブスクリプションとリソースグループを選択します。設定すると基本のタブに戻るので次へをクリックします。

5)パラメーターのタブでは作成を許可する仮想マシンのサイズSKUを選択します。今回はBシリーズとDシリーズにチェックを入れて作成します。

6)修復のタブではマネージドIDの作成可否を選択します。今回はマネージドIDを作成しますにチェックを入れます。

7)確認および作成のタブで内容を確認し、問題がなければ作成ボタンをクリックします。

これでポリシーの割り当ては完了です。ポリシーの割り当てに表示されている事が確認出来ます。

作成したAzure ポリシーを確認する

実際にポリシーが適用されるのかを確認してみます。

仮想マシンの作成でポリシー適用される事を確認する

仮想マシンを作成してみます。今回はBシリーズとDシリーズのみを定義している為、Eシリーズを作成しようとすると検証に失敗になる事が確認出来ます。

エラーメッセージからもポリシーにより許可されてない事が確認出来ます。

仮想マシンのサイズ変更でポリシー適用される事を確認する

仮想マシンのサイズ変更してみます。サイズの変更をクリックします。

ログを見るとポリシーにより仮想マシンのサイズ変更に失敗している事が分かります。