Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Global Azure2023で発表したセッションです。

Hirono Baba

May 13, 2023
Tweet

More Decks by Hirono Baba

Other Decks in Technology

Transcript

  1. Azure Policyとガバナンスのおはなし
    2023/5/13
    Global Azure 2023
    馬場ひろの Hirono Baba

    View Slide

  2. スピーカーについて
    ◼ 馬場ひろの
    ◼ (株)オルターブース所属
    ◼ ex歯医者さん
    ◼ 福岡から来ました
    ◼ 認定スクラムマスター
    ◼ AzureやGitHub, .NETがんばって
    ます
    @nina-sensei

    View Slide

  3. View Slide

  4. アジェンダ
    ◼ 今日話すこと
    ◼ Azureのガバナンスについて
    ◼ Azure Policy
    ◼ ガバナンスを運用しよう
    ◼ ガバナンスのテンプレートたち
    ◼ Azure Blueprintsでテンプレートのポリシーを一括デプロイ
    ◼ Azure Governance Visualizer
    ◼ 対象者
    ◼ ガバナンスって何?と思っているひと
    ◼ 組織でのAzure運用に課題を抱えているひと
    ◼ Azureを扱うすべてのひと

    View Slide

  5. Azureのガバナンスについて

    View Slide

  6. Copyright © Alterbooth Inc. All Rights Reserved. 6
    この処理がうまくいくか仮想マシンの
    リソース作って検証してみてね
    わかりました!(ぽちぽち)
    (…!何でそんなハイスペック(コスト高)で
    作ったのか!)
    (1か月後)できました!
    先輩Aさん
    新人Bくん

    View Slide

  7. どうすれば回避できたのか
    ◼ 先輩Aさんがスペックを指定する
    ◼ 新人Bくんが作る前に確認を取る
    ◼ より密なコミュニケーション
    ◼ 特定のスペック以上のVMを作れないようAzure側で制御する
    ガバナンス

    View Slide

  8. リソースを適切に作成していく流れ
    顧客、コスト センター、
    環境などのさまざまな次
    元によってコストを引き
    出すことができる必要が
    ある
    財務 / ビジネス
    適切なアクセス許可
    を持つロールを作成
    リソース グループ内
    のリソースには、必
    要に応じてタグを付
    ける必要がある
    タグ
    常にタグ付け!
    • 所有者
    • 部門
    • 環境
    • アプリケーション
    • (コスト センター)
    タグ
    ◼ 組織で使うAzureでリソースを作る時、作り方のルールがないと無秩序になる
    ◼ 財務/ビジネス →ロール → リソース作成

    View Slide

  9. Azure PolicyはAzureのガバナンスツール
    ◼ Azure Policyとは
    ◼ Azure Policyはリソースがビジネスルールに準拠し
    ているかを定義する
    ◼ ポリシー定義(1つ)、イニシアチブ定義(複数)
    ◼ 親スコープは子スコープを継承する
    ◼ AzurePolicyでできること
    ◼ 特定のリージョンのみにしかリソースを作ること
    ができない
    ◼ VMの作成を特定のサイズに限定する
    ◼ タグを必須化
    ◼ カスタムポリシー などなど ↑ポリシー定義:JSON

    View Slide

  10. Azure PolicyとRBACの違い
    ◼ AzurePolicy
    ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する
    ◼ やってはいけないことを制御する
    ◼ RBAC(ロールベースのアクセス制御)
    ◼ ユーザーがどんな権限を持っているかを定義する
    ◼ やっていいことの許可を与える

    View Slide

  11. ガバナンスを運用しよう

    View Slide

  12. ガバナンスを最適化する
    アプリケーション
    リソース
    (VM,DB、ストレージ)
    IAM ポリシー
    キー
    監視
    アプリケーション
    アプリケーション
    アプリケーション
    アプリケーション
    Landing Zone
    ユーザロール
    サブスクリプショ
    ンポリシー(リ
    ソースプロバイ
    ダー)
    メトリクス、ログ管
    理、アラート、セ
    キュリティ
    アプリケー
    ションテンプ
    レート
    トラフィック、プ
    ラーベート接続、パ
    ブリック/プライベー
    トゾーン
    共有サービス(IaaS
    上で構成されたディ
    レクトリーサービス
    やファイルサー
    バー)
    出典:Azure ランディング ゾーンとは - Cloud Adoption Framework | Microsoft Learn
    ガバナンス運用管理テンプレート

    View Slide

  13. CAF(Cloud Adoption Framework)
    戦略
    動機の明確化
    期待されるビジネス成果
    ビジネス適用の妥当性
    プロジェクトの優先順位付

    プラン
    デジタル資産の把握
    初期の組織配置
    スキル習得、計画
    クラウド導入計画の策定
    Ready
    Azure setup guide
    First landing zone
    Expand the landing zone
    Best practice validation
    採用
    Migrate
    最初のシステム移行
    移行シナリオの拡張
    ベストプラクティスの検証
    運用プロセスの改善
    Innovate
    イノベーションガイド
    開発シナリオの拡張
    ベストプラクティスの検証
    開発プロセスの改善
    ガバナンス
    方法論策定
    ベンチマークの初期ベスト
    プラクティス
    ガバナンスの成熟
    管理
    ビジネス上のコミットメント
    運用ベースライン
    運用の成熟度
    Ready
    運用モデルの検討
    ランディングゾーンの概念
    設計領域のガイド
    実装オプションの選択
    セキュリティ
    リスクの洞察
    ビジネスのレジリエンス
    資産保護
    出典:Azure 向けの Microsoft クラウド導入フレームワークとは
    ビジネス&テクノロジ戦略のテンプレート( Landing Zoneが定義されてる)

    View Slide

  14. CAFはベストプラクティス、ドキュメント、
    ツールを提供
    ◼ 管理
    ◼ Azure Well-Architected Review
    ◼ ベスト プラクティス ソース コード
    ◼ 運用管理ブック
    ◼ ガバナンス
    ◼ ガバナンス ベンチマーク
    ◼ ガバナンス 規範 テンプレート
    ◼ Cost Management 規範テンプレート
    ◼ デプロイ高速化規範テンプレート
    ◼ ID ベースライン規範テンプレート
    ◼ リソースの整合性規範テンプレート
    ◼ セキュリティベースライン規範テンプレート
    ◼ ガバナンスビジュアライザー
    ◼ Azure Security Benchmark
    出典:ツールとテンプレート - Cloud Adoption Framework | Microsoft Learn

    View Slide

  15. Azure Blueprints(※Preview)
    ◼ 決められたリソースや環境を一括でデプロイできるサービス
    ◼ ガバナンス系のテンプレートがいくつか用意されている
    ◼Landing Zoneのテンプレート
    ◼ Foundation blueprint(CAFの基本)
    ◼ Migration blueprint
    ◼ Terraform modules
    ◼ Enterprise-scale Landing Zones

    View Slide

  16. 組織が大きくなると果てしなくポリシーが…
    ◼ 管理グループ、サブスクリプション、リ
    ソースグループ、それぞれの階層でポリ
    シーを設定できる
    ◼ 上位の管理グループからポリシーを継承
    することができる
    ◼ 組織が大きくなればなるほど、「どこで設
    定されたポリシー」かわかりづらくなる

    View Slide

  17. Azure Governance Visualizerで見える化
    ◼ Azure Governance Visualizerとは
    ◼ Azure PolicyやRBACなど、Azureガバナンス関連の情報を取得するPowerShellスクリプト
    ◼ Azure Governance Visualizerでできるもの
    HierarchyMap
    DefinitionInsights,
    ScopeInsights
    TenantSummary その他

    View Slide

  18. Azure Governance Visualizerやってみた
    管理グループ
    サブスクリプション1 サブスクリプション2
    リソースグループ1 リソースグループ2

    ブループリント
    CAFの基礎
    // Azureに接続
    Connect-AzAccount -TenantId xxx `
    –UseDeviceAuthentication
    // 管理グループを指定して実行
    .¥AzGovVizParallel.ps1 `
    -ManagementGroupId yyy
    検証環境
    ◼ 管理グループの「Reader」の権限があれば
    実行可能
    ◼ サービスプリンシパルを利用して実行する
    こともできる
    https://github.com/JulianHayward/Azure-MG-Sub-Governance-Reporting

    View Slide

  19. View Slide

  20. Azure Governance Visualizerを自動化
    ◼ Azure DevOps、GithHub Actionsで自動実行可能
    ◼ わざわざ自動化する必要あるの?
    ◼ 「組織」は常に変化するもの
    ◼ 技術的なシステムの運用方法 + ビジネス戦略
    ◼ 組織の成熟度によって戦略的な方向性、人材
    組織、ガバナンス、リスク、コンプライアン
    スを見直していくべき
    ◼ そのためパイプライン、ワークフローを組ん
    でおこう

    View Slide

  21. まとめ
    Azure Policy
    ガバナンスを定義する
    Azure Blueprints
    標準化された環境を一括デプロイ
    ビジネス&テクノロジ戦略のテンプレート
    CAF
    ・CAFの基本テンプレート


    ガバナンス運用管理テンプレート
    Landing Zone
    Landing Zone
    デプロイする
    ポリシーがテンプレで
    いくつか定義されてる
    Governance Visualizer
    ポリシーを可視化するツール

    View Slide

  22. おしまい
    ◼ Azure Policyでガバナンスを作成
    ◼ Azure BlueprintsでLanding Zoneを一括デプロイ
    ◼ ガバナンスは組織の成熟度によって見直すべき
    ◼ 適切に運用、見直しできるよう自動化しよう

    View Slide