Azure Policyとガバナンスのおはなし/globalazure2023-baba

Azure Policyとガバナンスのおはなし 2023/5/13 Global Azure 2023 馬場ひろの Hirono Baba

スピーカーについて ◼ 馬場ひろの ◼ (株)オルターブース所属 ◼ ex歯医者さん ◼ 福岡から来ました ◼
認定スクラムマスター ◼ AzureやGitHub, .NETがんばってます @nina-sensei

アジェンダ ◼ 今日話すこと ◼ Azureのガバナンスについて ◼ Azure Policy ◼ ガバナンスを運用しよう
◼ ガバナンスのテンプレートたち ◼ Azure Blueprintsでテンプレートのポリシーを一括デプロイ ◼ Azure Governance Visualizer ◼ 対象者 ◼ ガバナンスって何？と思っているひと ◼ 組織でのAzure運用に課題を抱えているひと ◼ Azureを扱うすべてのひと

Azureのガバナンスについて

Copyright © Alterbooth Inc. All Rights Reserved. 6 この処理がうまくいくか仮想マシンのリソース作って検証してみてね
わかりました！（ぽちぽち）（…！何でそんなハイスペック（コスト高）で作ったのか！）（１か月後）できました！先輩Aさん新人Bくん

どうすれば回避できたのか ◼ 先輩Aさんがスペックを指定する ◼ 新人Bくんが作る前に確認を取る ◼ より密なコミュニケーション ◼ 特定のスペック以上のVMを作れないようAzure側で制御するガバナンス

リソースを適切に作成していく流れ顧客、コストセンター、環境などのさまざまな次元によってコストを引き出すことができる必要がある財務 / ビジネス
適切なアクセス許可を持つロールを作成リソースグループ内のリソースには、必要に応じてタグを付ける必要があるタグ常にタグ付け! • 所有者 • 部門 • 環境 • アプリケーション • (コストセンター) タグ ◼ 組織で使うAzureでリソースを作る時、作り方のルールがないと無秩序になる ◼ 財務/ビジネス →ロール → リソース作成

Azure PolicyはAzureのガバナンスツール ◼ Azure Policyとは ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する ◼
ポリシー定義（1つ）、イニシアチブ定義（複数） ◼ 親スコープは子スコープを継承する ◼ AzurePolicyでできること ◼ 特定のリージョンのみにしかリソースを作ることができない ◼ VMの作成を特定のサイズに限定する ◼ タグを必須化 ◼ カスタムポリシーなどなど ↑ポリシー定義：JSON

Azure PolicyとRBACの違い ◼ AzurePolicy ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する ◼ やってはいけないことを制御する ◼
RBAC（ロールベースのアクセス制御） ◼ ユーザーがどんな権限を持っているかを定義する ◼ やっていいことの許可を与える

ガバナンスを運用しよう

ガバナンスを最適化するアプリケーションリソース（VM，DB、ストレージ） IAM ポリシーキー監視アプリケーションアプリケーション
アプリケーションアプリケーション Landing Zone ユーザロールサブスクリプションポリシー（リソースプロバイダー）メトリクス、ログ管理、アラート、セキュリティアプリケーションテンプレートトラフィック、プラーベート接続、パブリック/プライベートゾーン共有サービス（IaaS 上で構成されたディレクトリーサービスやファイルサーバー）出典：Azure ランディングゾーンとは - Cloud Adoption Framework | Microsoft Learn ガバナンス運用管理テンプレート

CAF（Cloud Adoption Framework）戦略動機の明確化期待されるビジネス成果ビジネス適用の妥当性プロジェクトの優先順位付けプラン
デジタル資産の把握初期の組織配置スキル習得、計画クラウド導入計画の策定 Ready Azure setup guide First landing zone Expand the landing zone Best practice validation 採用 Migrate 最初のシステム移行移行シナリオの拡張ベストプラクティスの検証運用プロセスの改善 Innovate イノベーションガイド開発シナリオの拡張ベストプラクティスの検証開発プロセスの改善ガバナンス方法論策定ベンチマークの初期ベストプラクティスガバナンスの成熟管理ビジネス上のコミットメント運用ベースライン運用の成熟度 Ready 運用モデルの検討ランディングゾーンの概念設計領域のガイド実装オプションの選択セキュリティリスクの洞察ビジネスのレジリエンス資産保護出典：Azure 向けの Microsoft クラウド導入フレームワークとはビジネス＆テクノロジ戦略のテンプレート（ Landing Zoneが定義されてる）

CAFはベストプラクティス、ドキュメント、ツールを提供 ◼ 管理 ◼ Azure Well-Architected Review ◼ ベスト
プラクティスソースコード ◼ 運用管理ブック ◼ ガバナンス ◼ ガバナンスベンチマーク ◼ ガバナンス規範テンプレート ◼ Cost Management 規範テンプレート ◼ デプロイ高速化規範テンプレート ◼ ID ベースライン規範テンプレート ◼ リソースの整合性規範テンプレート ◼ セキュリティベースライン規範テンプレート ◼ ガバナンスビジュアライザー ◼ Azure Security Benchmark 出典：ツールとテンプレート - Cloud Adoption Framework | Microsoft Learn

Azure Blueprints（※Preview） ◼ 決められたリソースや環境を一括でデプロイできるサービス ◼ ガバナンス系のテンプレートがいくつか用意されている ◼Landing Zoneのテンプレート ◼ Foundation
blueprint（CAFの基本） ◼ Migration blueprint ◼ Terraform modules ◼ Enterprise-scale Landing Zones

組織が大きくなると果てしなくポリシーが… ◼ 管理グループ、サブスクリプション、リソースグループ、それぞれの階層でポリシーを設定できる ◼ 上位の管理グループからポリシーを継承することができる ◼ 組織が大きくなればなるほど、「どこで設
定されたポリシー」かわかりづらくなる

Azure Governance Visualizerで見える化 ◼ Azure Governance Visualizerとは ◼ Azure PolicyやRBACなど、Azureガバナンス関連の情報を取得するPowerShellスクリプト
◼ Azure Governance Visualizerでできるもの HierarchyMap DefinitionInsights, ScopeInsights TenantSummary その他

Azure Governance Visualizerやってみた管理グループサブスクリプション1 サブスクリプション2 リソースグループ1 リソースグループ2 … ブループリント
CAFの基礎 // Azureに接続 Connect-AzAccount -TenantId xxx ` –UseDeviceAuthentication // 管理グループを指定して実行 .¥AzGovVizParallel.ps1 ` -ManagementGroupId yyy 検証環境 ◼ 管理グループの「Reader」の権限があれば実行可能 ◼ サービスプリンシパルを利用して実行することもできる https://github.com/JulianHayward/Azure-MG-Sub-Governance-Reporting

Azure Governance Visualizerを自動化 ◼ Azure DevOps、GithHub Actionsで自動実行可能 ◼ わざわざ自動化する必要あるの？ ◼
「組織」は常に変化するもの ◼ 技術的なシステムの運用方法 + ビジネス戦略 ◼ 組織の成熟度によって戦略的な方向性、人材組織、ガバナンス、リスク、コンプライアンスを見直していくべき ◼ そのためパイプライン、ワークフローを組んでおこう

まとめ Azure Policy ガバナンスを定義する Azure Blueprints 標準化された環境を一括デプロイビジネス＆テクノロジ戦略のテンプレート CAF ・CAFの基本テンプレート
・・ガバナンス運用管理テンプレート Landing Zone Landing Zone デプロイするポリシーがテンプレでいくつか定義されてる Governance Visualizer ポリシーを可視化するツール

おしまい ◼ Azure Policyでガバナンスを作成 ◼ Azure BlueprintsでLanding Zoneを一括デプロイ ◼ ガバナンスは組織の成熟度によって見直すべき
◼ 適切に運用、見直しできるよう自動化しよう

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Hirono Baba

More Decks by Hirono Baba

Other Decks in Technology

Featured

Transcript

Azure Policyとガバナンスのおはなし 2023/5/13 Global Azure 2023 馬場ひろの Hirono Baba

スピーカーについて ◼ 馬場ひろの ◼ (株)オルターブース所属 ◼ ex歯医者さん ◼ 福岡から来ました ◼

アジェンダ ◼ 今日話すこと ◼ Azureのガバナンスについて ◼ Azure Policy ◼ ガバナンスを運用しよう

Azureのガバナンスについて

Copyright © Alterbooth Inc. All Rights Reserved. 6 この処理がうまくいくか仮想マシンのリソース作って検証してみてね

どうすれば回避できたのか ◼ 先輩Aさんがスペックを指定する ◼ 新人Bくんが作る前に確認を取る ◼ より密なコミュニケーション ◼ 特定のスペック以上のVMを作れないようAzure側で制御するガバナンス

リソースを適切に作成していく流れ顧客、コストセンター、環境などのさまざまな次元によってコストを引き出すことができる必要がある財務 / ビジネス

Azure PolicyはAzureのガバナンスツール ◼ Azure Policyとは ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する ◼

Azure PolicyとRBACの違い ◼ AzurePolicy ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する ◼ やってはいけないことを制御する ◼

ガバナンスを運用しよう

ガバナンスを最適化するアプリケーションリソース（VM，DB、ストレージ） IAM ポリシーキー監視アプリケーションアプリケーション

CAF（Cloud Adoption Framework）戦略動機の明確化期待されるビジネス成果ビジネス適用の妥当性プロジェクトの優先順位付けプラン

CAFはベストプラクティス、ドキュメント、ツールを提供 ◼ 管理 ◼ Azure Well-Architected Review ◼ ベスト

Azure Blueprints（※Preview） ◼ 決められたリソースや環境を一括でデプロイできるサービス ◼ ガバナンス系のテンプレートがいくつか用意されている ◼Landing Zoneのテンプレート ◼ Foundation

Azure Governance Visualizerで見える化 ◼ Azure Governance Visualizerとは ◼ Azure PolicyやRBACなど、Azureガバナンス関連の情報を取得するPowerShellスクリプト

Azure Governance Visualizerやってみた管理グループサブスクリプション1 サブスクリプション2 リソースグループ1 リソースグループ2 … ブループリント

Azure Governance Visualizerを自動化 ◼ Azure DevOps、GithHub Actionsで自動実行可能 ◼ わざわざ自動化する必要あるの？ ◼

まとめ Azure Policy ガバナンスを定義する Azure Blueprints 標準化された環境を一括デプロイビジネス＆テクノロジ戦略のテンプレート CAF ・CAFの基本テンプレート

おしまい ◼ Azure Policyでガバナンスを作成 ◼ Azure BlueprintsでLanding Zoneを一括デプロイ ◼ ガバナンスは組織の成熟度によって見直すべき