チュートリアル:準拠していないリソースを識別するためのポリシー割り当てを作成する

  • [アーティクル]

Azure のコンプライアンスを理解する第一歩は、リソースの状態を特定することです。 Azure Policy では、ゲスト構成ポリシーを使用した、Azure Arc 対応サーバーの状態の監査がサポートされています。 Azure Policy のゲスト構成定義により、マシン内の設定を監査または適用できます。

このチュートリアルでは、Windows または Linux 用の Log Analytics エージェントがインストールされていない Azure Arc 対応サーバーを特定するためのポリシーを作成して割り当てる手順について説明します。 それらは、ポリシーの割り当てに "準拠していない" マシンと見なされます。

このチュートリアルでは、次の内容を学習します。

  • ポリシーの割り当てを作成してその定義を割り当てる
  • 新しいポリシーに準拠していないリソースを特定する
  • 準拠していないリソースからポリシーを削除する

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

ポリシー割り当てを作成する

以下の手順に従ってポリシー割り当てを作成し、"[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" というポリシー定義を割り当てます。

  1. Azure portal で [すべてのサービス] を選択し、「Policy」を検索して選択することで、Azure Policy サービスを起動します。

    Screenshot of All services window showing search for policy service.

  2. Azure Policy ページの左側にある [割り当て] を選択します。 割り当ては、特定のスコープ内で実行するように割り当てられたポリシーです。

    Screenshot of All services Policy window showing policy assignments.

  3. [ポリシー - 割り当て] ページの上部で [ポリシーの割り当て] を選択します。

  4. [ポリシーの割り当て] ページで、 [スコープ] を選択します。その際、省略記号をクリックし、管理グループまたはサブスクリプションを選択します。 任意でリソース グループを選択します。 スコープによって、ポリシー割り当てを強制するリソースまたはリソースのグループが決まります。 次に、[スコープ] ページの下部にある [選択] をクリックします。

    この例では、Parnell Aerospace サブスクリプションを使用しています。 お客様によってサブスクリプションは異なります。

  5. リソースはスコープに基づいて除外できます。 除外スコープのレベルよりも 1 つ下のレベルで開始されます。 除外は省略可能です。ここでは空のまま残してください。

  6. [ポリシー定義] の省略記号を選択して、使用可能な定義の一覧を開きます。 Azure Policy に組み込まれているポリシー定義を使用できます。 次のようなさまざまな定義を利用できます。

    • タグとその値を強制
    • タグとその値を適用
    • タグが存在しない場合は、リソース グループからタグを継承する

    使用できる組み込みポリシーの部分的な一覧については、Azure Policy サンプルに関する記事をご覧ください。

  7. Windows ベースのマシンで Azure Connected Machine エージェントを有効にしている場合、ポリシー定義の一覧から、"[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" という定義を見つけます。 Linux ベースのマシンの場合、対応するポリシー定義 "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を見つけます。 そのポリシーをクリックし、[追加] をクリックしてください。

  8. [割り当て名] には選択したポリシー名が自動的に入力されますが、この名前は変更できます。 この例では、ポリシー名はそのままにし、ページの残りのオプションは変更しないでください。

  9. この例では、他のタブの設定を変更する必要はありません。 [確認と作成] を選択して新しいポリシーの割り当てを確認し、[作成] を選択します。

以上の手順で、準拠していないリソースを特定し、環境のコンプライアンスの状態を理解できるようになりました。

準拠していないリソースを特定する

ページの左側にある [コンプライアンス] を選択します。 次に、作成したポリシーの割り当て "[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" または "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を探します。

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

この新しい割り当てに準拠していない既存のリソースがある場合、 [準拠していないリソース] の下に表示されます。

既存のリソースに対して条件が評価され、該当した場合、そのリソースはポリシーに準拠していないとしてマークされます。 次の表は、さまざまなポリシーの効果での条件の評価と、その結果であるコンプライアンスの状態を示しています。 Azure portal では評価ロジックは表示されませんが、コンプライアンスの状態の結果は表示されます。 コンプライアンスの状態の結果は、"対応" または "準拠していない" のいずれかです。

リソースの状態 効果 ポリシーの評価 コンプライアンスの状態
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* True 準拠していない
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* False 対応
新規 Audit、AuditIfNotExist* True 準拠していない
新規 Audit、AuditIfNotExist* False 対応

* Append、DeployIfNotExist、AuditIfNotExist の各効果では、IF ステートメントが TRUE である必要があります。 また、非準拠となるには、既存の条件が FALSE である必要があります。 TRUE のとき、IF 条件は関連するリソースの既存の条件の評価をトリガーします。

リソースをクリーンアップする

作成した割り当てを削除するには、次の手順のようにします。

  1. [Azure Policy] ページの左側にある [コンプライアンス] (または [割り当て]) を選択し、作成したポリシーの割り当て "[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある" または "[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある" を探します。

  2. ポリシーの割り当てを右クリックし、 [割り当ての削除] を選択します。

次の手順

このチュートリアルでは、ポリシー定義をスコープに割り当て、コンプライアンス レポートを評価しました。 ポリシー定義では、スコープ内のすべてのリソースが準拠していることが検証されて、準拠していないリソースが識別されます。 これで、VM insights を有効にして、Azure Arc 対応サーバー マシンを監視することができるようになりました。

ご利用のマシンから、パフォーマンスと実行中のプロセス、およびその依存関係を監視および確認する方法については、引き続き次のチュートリアルに進んでください。

VM Insights を有効にする