AWS Organizations 経験者向け Azure ガバナンス速習

Transcript

1. AWS Organizations 経験者向け Azure ガバナンス速習 2026.5.19 yhana

2. 社内向け Azure 勉強会の目的 2 CCoE や情報システム部が組織内の AWS アカウントの管理を AWS Organizations

   を用いて統制している場合と同じように、 Azure サブスクリプションを統制する場合のサービス例を紹介します 本資料に記載しているサービス以外の実現方法もあるため、 一例の紹介に留まりますが、Azure を勉強するきっかけになれば幸いです

3. AWS と Azure サービスの対応 3 AWS 統制に利用するサービスに対応する Azure サービスのイメージ カテゴリ

   AWS Azure 補足説明 ユーザー管理 AWS IAM / AWS IAM Identity Center Microsoft Entra ID 組織管理 AWS Organizations OU 管理グループ AWS Organizations SCP Azure ポリシー（deny） 監査ログ AWS CloudTrail アクティビティログ AWS Config レコーダー Azure Resource Graph、アクティビティログ変更履歴 セキュリティサービス AWS Security Hub CSPM Microsoft Defender for Cloud の CSPM 機能 AWS Config ルール Azure ポリシー（audit） 検出のみの場合 Amazon GuardDuty Microsoft Sentinel AWS Security Hub Microsoft Defender XDR サブスクリプション 発行時のリソース展開 AWS CloudFormation StackSets Azure ポリシー（deployIfNotExists） Azure には他に IaC サービスがあるが ガバナンスの初期設定ではポリシーを 利用することもある

4. ユーザー管理

5. Entra ID と Azure の関係 5 Azure サブスクリプションへのアクセスには Entra ID

   ユーザーを利用する Entra ID は Azure だけではなく、Microsoft 製品全般のユーザー管理に利用する Entra ID ユーザー IAM ユーザー ユーザー

6. Azure サブスクリプションへの権限付与 6 Azure ロール（役割）をユーザー・グループに割り当てて利用する カテゴリ Azure ロール名 説明 組み込みロール

   所有者 全てのリソースにアクセスできる権限 AWS でいうと AdministratorAccess 共同作成者 全てのリソースにアクセスできるが、 他者へのロール割り当てができない権限 AWS でいうと PowerUserAccess 閲覧者 リソースの読み取り権限 AWS でいうと ReadOnlyAccess カスタムロール 任意のロール名 任意の権限 Azure ロールを割り当て

7. Entra ID への権限付与 7 注意が必要な点として、Entra ID の権限管理は Azure ロールではなく、 Entra

   ID ロールを使う（権限管理は分かれている） カテゴリ Entra ID ロール名 説明 組み込みロール グローバル管理者 全機能を管理できる最上位ロール グローバル閲覧者 全設定の読み取り権限 ユーザー管理者 ユーザーとグループの作成・管理が可能 カスタムロール 任意のロール名 任意の権限 Entra ID ロールを割り当て

8. 権限管理の参考資料 8 Azure の権限管理は別の資料にもまとめている 下記資料に加えて課金アカウントの権限についても知っておく必要がある https://dev.classmethod.jp/articles/azure-rbac-study/

9. 組織管理

10. 管理グループ 10 Azure サブスクリプション（AWS アカウントに近い）を束ねて管理する 「管理グループ」機能がある

11. 管理グループの構成 11 分割方針は概ね AWS の OU と同様の考えだが、管理グループ単位で権限付与と 料金確認ができることを考慮するとよい 「プロジェクト」単位で権限付与 「部署名」単位で料金合計を確認・分析

12. 管理グループの構成例 12 Microsoft Learn にある管理グループ構成例 引用元：https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups

13. 利用制限 13 AWS Organizations の SCP 同様に、管理グループ単位でリージョン制限などを 反映できる機能が Azure ポリシー

14. 利用制限 14 Azure が提供するマネージドな組み込みポリシーもある（AWS Control Tower のコントロールカタログのイメージ） カテゴリ ポリシー名 説明

    組み込みポリシー 許可されている場所 Allowed locations リソースを作成できるリージョンを制限する 許可されている仮想マシン サイズ SKU Allowed virtual machine size SKUs 使用できる仮想マシンのサイズ・スペックを制限する カスタムポリシー 任意のポリシー名 任意のポリシー内容

15. 監査ログ

16. アクティビティログ 16 AWS CloudTrail のように利用者の操作を記録するアクティビティログを Log Analytics Workspace (CloudWatch Logs

    相当) や Blob (S3 相当) に集約 もできる

17. リソース変更履歴 17 AWS Config レコーダーのようにリソース変更履歴を確認できる Azure 上のリソースを検索できる Azure Resource Graph

    で確認するかアクティ ビティログから変更された内容を確認できる 引用元：https://dev.classmethod.jp/articles/azure-resource-graph-resource- changes-query/

18. セキュリティサービス

19. CSPM (Cloud Security Posture Management) 19 Security Hub CSPM のように基準に準拠したポリシーを選択して、準拠を確認で

    きる機能は Microsoft Defender for Cloud の一部として提供されている

20. CSPM (Cloud Security Posture Management) 20 【参考】Microsoft cloud security benchmark

    の項目の一部

21. CSPM (Cloud Security Posture Management) 21 AWS の CSPM の裏では

    Config ルールが使われているように、 ポリシーに沿ったセキュリティチェックの裏では Azure ポリシーが使われている Azure ポリシーには「効果」というパラメータがあり、効果で動作が変わる 効果 説明 deny 非準拠のリソース操作を拒否する（AWS Organizations SCP に近い） audit 非準拠リソースを検出する（AWS Config ルールに近い） deployIfNotExists 条件を満たさない場合に自動でリソースをデプロイする

22. CWPP (Cloud Workload Protection Platform) 22 Microsoft Defender for Cloud

    には VM に Defender for Endpoint (EDR 機能 あり) を導入できる CWPP 機能もある

23. 脅威検出 23 GuardDuty のようにログから脅威を検出する機能は Microsoft Sentinel (SIEM) サービスを利用する。アクティビティログ等のログを監視して脅威を検出する

24. 脅威検出 24 Microsoft Sentinel はアクティビティログだけではなく、様々な製品に対応して いる。AWS CloudTrail や Google Cloud

    Audit ログも集約して脅威検出できる ソリューションをインストールして利用 ソリューションに含まれる分析ルールテンプレートを利用して脅威を検出

25. Microsoft Defender XDR 25 Microsoft Defender for Cloud や Microsoft

    Sentinel などのセキュリティサー ビスの情報は Defender XDR に集約されて一元的に確認できる XDR は Endpoint 製品や M365 製品のセキュリティイベントも集約される

26. リソース展開

27. Azure サブスクリプション発行時の自動設定 27 リソースが存在しない場合に自動でリソースをデプロイする効果のポリシーを 利用することで、サブスクリプション発行時の自動設定ができる ① ポリシーを管理グループに割り当て ② サブスクリプション発行 ③

    アクティビティログの転送（診断設定）を自動設定

28. Azure サブスクリプション発行時の自動設定 28 サブスクリプション毎のパラメータ指定が必要なリソースやネットワークなどの リソースをベースラインとして展開する場合は Terraform も活用することがある 使い分けの例 構築対象 構築手段

    メリット ガバナンス強制・継続的コンプライアンス Azure ポリシー（deployIfNotExists） ・主要な設定は組み込みポリシーが用意されている ・管理グループ単位で割り当てできる ・削除・無効化された場合に自動修復される リソース初期構成・アプリ基盤 Terraform ・変数で環境ごとの動的な値を扱いやすい ・事前の変更プレビューが確認できる ・マルチクラウド環境を同一技術で統一できる

29. その他知っておくと便利な情報

30. AWS サービスと Azure サービスの対応表 30 Microsoft Learn に AWS サービスと

    Azure サービスの対応表が掲載されている AWS プロフェッショナルのための Azure - Azure Architecture Center | Microsoft Learn

31. 命名規則 31 Azure の命名規則は「Microsoft のクラウド導入フレームワーク」に命名例が掲 載されている 名前付け規則を定義する - Cloud Adoption

    Framework | Microsoft Learn 各サービスの省略名の推奨も掲載されている Azure リソースの省略形に関する推奨事項 - Cloud Adoption Framework | Microsoft Learn

32. まとめ

33. まとめ 33 AWS や Google Cloud 統制と近い部分もあるため、ある程度は共通の方針で 環境を構築できる。ただし、細かい点含めて同じにしようと思うと大変になる カテゴリ AWS

    Azure 補足説明 ユーザー管理 AWS IAM / AWS IAM Identity Center Microsoft Entra ID 組織管理 AWS Organizations OU 管理グループ AWS Organizations SCP Azure ポリシー（deny） 監査ログ AWS CloudTrail アクティビティログ AWS Config レコーダー Azure Resource Graph、アクティビティログ変更履歴 セキュリティサービス AWS Security Hub CSPM Microsoft Defender for Cloud の CSPM 機能 AWS Config ルール Azure ポリシー（audit） 検出のみの場合 Amazon GuardDuty Microsoft Sentinel AWS Security Hub Microsoft Defender XDR サブスクリプション 発行時のリソース展開 AWS CloudFormation StackSets Azure ポリシー（deployIfNotExists） Azure には他に IaC サービスがあるが ガバナンスの初期設定ではポリシーを 利用することもある
34. None