【AZ900】1日10分で合格!Azureのガバナンス

az-900

この記事では「Azureのガバナンス」についてお話しします。

想定読者や本記事の読み方は以下となります。

取り上げている題材

  • Microsoft AzureのAZ-900の試験内容についての解説をしています。

想定読者

  • これからAZ-900の試験を受けようとしている方。
  • Azureの基礎を学ぼうとしている方。

この記事の読み方

  • 赤字のアンダーラインは、AZ-900に合格する上で重要なポイントになるので覚える必要がある内容になります。
  • 厳密性に欠ける記載が一部ありますが「まずはイメージして理解する」ことを優先して記載しています。

では、解説をはじめます。

 

Azureのガバナンス

まず「ガバナンス」とは「管理」という意味になるので、Azureのガバナンスとは「Azureを管理するための仕組み」ということになります。

Azureなどのクラウドサービスは便利である一方、Internet上に存在するので使い方を誤ると情報漏洩など大きな問題につながるリスクも存在しています。このようなリスクを回避するためには、決められたルールに従ってAzure環境を構築し使用してもらうことが重要になります。

Azureでは、Azure環境を企業や組織ごとに決められたルールに準拠させるための仕組みを提供してくれていますので、本記事ではそんなAzureのガバナンスの機能について説明していきます

 

Azure Policy

Azure Policyの説明は次の通りです。

Azure Policy

Azureリソースを決められたルールに準拠した構成や設定にするための仕組み

Azure Policyを使用することで、例えば「Azureストレージを使用する場合は必ずデータの暗号化設定を有効にする」などができるようになります。

このようにAzureリソースの構成や設定に対して、ルールを強制した状態で使用させるのがAzure Policyの機能となります。

 

Azure RBAC

Azure RBACの説明は次の通りです。

Azure RBAC(Role Based Access Control)

ユーザの役割に応じてアクセス権を制御するための仕組み

まず、RBACというのはその文字通り「役割に応じてアクセス権を制御する」という考え方になります。「役割に応じたアクセス権」と言うのは例えば

  • インフラ担当はAzureのコンピュートサービスやネットワークサービスのみアクセス許可
  • アプリ担当はApp Serviceのみアクセス許可させ、それ以外のコンピュートやネットワークサービスはアクセス不可

など、それぞれの役割に応じてアクセス権を制御するための仕組みがAzure RBACになります。

 

「Azure Policy」と「Azure RBAC」の違い

Azure Policyは「Azureリソースの設定値」を制御する仕組みであるのに対して、Azure RBACは「ユーザの操作」を制御する仕組みとなるので、この違いはぜひ押さえていきましょう。

 

Azure Blueprints

Azure Blueprintsは先にお話しした「ポリシー」「RBAC」や「ARMテンプレート」「リソースグループ」をブループリントと呼ばれる「システムの設計図」としてまとめることで、他のサブスクリプションに展開しやすくしたものです。

もう少し具体的に言うと

  • ARMテンプレートやリソースグループにて、例えばAzure Firewallを必ず使用させ、ネットワークに関してはDMZと内部ネットワークのようにセキュリティを考慮したネットワーク構成を取らせる
  • ポリシーにて、Azureリソースが取るべき値(設定値)を指定する
  • RBACにて、インフラ担当やアプリ担当など役割に従ったチーム運営をしてもらう

など、企業や組織が満たすべきルールに準拠したシステム構成や設定を強制させる仕組みを提供してくれるのがAzure Blueprintsになります。

 

ロック

ロックの説明は次の通りです。

ロック

意図しない削除や変更からAzureリソースを保護するための仕組み

ロックには次の2つの種類があります。

  • 削除ロック
  • 読み取り専用ロック

削除ロックは「削除できないようにするためのロック」なので、Azureリソースは「削除」のみ不可で「読み取り」と「更新」は可能となります。

読み取り専用ロックは「読み取りしかできないようにするためのロック」なので、Azureリソースは「読み取り」のみ可能で「更新」や「削除」は不可となります。

 

まとめ

「Azureのガバナンス」についての解説は以上となります。

Azureのガバナンスとは「Azure環境を管理するための仕組み」であること。そして管理するためにはAzure RBACで人の操作を制限し、Azure PolicyでAzure環境の設定を制限する必要があります。

そしてこれらの制限する仕組みを使いやすいように一つにまとめたものがAzure Blueprintsというサービスになります。

難しい単語やサービスばかりになってしまいましたが、1つずつ一緒に押さえていきましょう。

読んでいただきありがとうございました。

タイトルとURLをコピーしました