クラウド ガバナンス基盤をデプロイする
クラウドガバナンス基盤をデプロイすると、お使いの Azure 環境全体をガバナンスする能力が促進されます。 このユニットでは、リソースの整合性を実現できる基盤をデプロイし、他のガバナンス規範に向けて準備するために必要な考慮事項と実装の概要を示します。
何を構成するか
このユニットは、既に Azure に資産をデプロイしていることを前提としています。 ここでは、これらの資産をより適切に整理、追跡、および管理するように環境を構成する必要があります。 このユニットを完了すると、管理グループ、サブスクリプションの設計、リソース グループ、タグ付けを構成する "理由" と "方法" を理解します。
戦略的な考慮事項
リソースの編成は、組織にとって何が重要であるかに基づきます。 管理グループまたはサブスクリプションの設計を定義する前に、次の競合する優先事項の優先順位を把握しておくことが重要です。
- コストの透明性: すべてのクラウド導入は、部門、事業単位、プロジェクト、またはチャージバックやショーバックに関する経理要件のためのその他のコスト割り当てメカニズムに合わせる必要があります。
- コンプライアンスとセキュリティ: すべてのクラウド導入は、特定のリスク、セキュリティ、およびコンプライアンスの組織構造にクラウド導入をマップする、特定のコンプライアンス要件にマップする必要があります。
- 民主化 (委任された責任): すべてのクラウド導入は、チームによる責任の分割を容易にするためのチーム、製品グループ、またはプロジェクトにマップする必要があります。
これらの戦略的な優先順位を把握することは、管理とサブスクリプションの設計に最適な出発点を特定するのに役立ちます。
Azure でのリソースの編成
すべてのガバナンスの基本的な基盤は、一貫性のあるリソースの編成です。
"図 1:リソースの整合性。"
リソース編成の 3 つの主要なコンポーネントは次のとおりです。
- "管理グループ"。セキュリティ、運用、ビジネスまたは経理の階層を反映します。
- "サブスクリプション"。類似したリソースを論理的な境界でグループ化します。
- "リソース グループ"。アプリケーションまたはワークロードを、デプロイと運用のユニットでさらにグループ化します。
ガバナンス設計の考慮事項
長期的なガバナンス ニーズに対応するために、大まかな階層を設計しますが、必要なもののみを実装します。 要件によって規定されているように、階層に新しいノードを追加します。
"図 2:管理グループの階層。"
次のコンポーネントは、図 2 に示す管理グループ階層の下位のレベルにあります。
- 管理グループ: 事業単位、地域、環境
- サブスクリプション: アプリケーション カテゴリごとに、運用前環境、開発環境、運用環境
- リソース グループ: アプリケーションごと
演習: 最初の管理グループ階層を構成する
より小規模な階層から始めることで、実験が可能になり、初期の学習曲線を迅速に乗り越えることができます。
"図 3:最初の、より小規模な管理グループ階層。"
このより小規模なバージョンでは、次の構成手順を試みます。
- 親ノード: 企業 IT の管理グループを定義します。
- 子ノード: 運用環境と非運用環境ごとに子ノードを定義します。
これらの管理グループの作成に関するガイダンスについては、Azure portal で管理グループを作成するためのクイックスタート ガイドを参照してください。
サブスクリプション デザイン
サブスクリプションは、デプロイされたすべての資産の論理コンテナーです。 サブスクリプションは、請求、コンプライアンス、セキュリティ、またはアクセス要件に基づいて共通のワークロードをグループ化するために使用されます。 ガバナンスの効率を最大限に高めるには、できるだけ少ない数のサブスクリプションを使用する必要があります。
図 4:運用および非運用サブスクリプション。
サブスクリプションを使用したスケーリング
複数のサブスクリプションを使用してスケーリングすることには、いくつかの技術的および非技術的な理由があります。 スケーリングを行う一般的な理由の概要については、基本的な概念に関する記事を確認してください。
次の質問は、サブスクリプションをスケーリングする理由を示すのに役立つ場合があります。
- 容量や技術に関する制限事項はありますか?
- 懸念事項を明確に分離する必要がありますか? 例:
- 職務の分離
- Dev/Test と汎用的な非運用環境
- 異なる顧客
- 異なる部署または事業単位
- 異なるプロジェクト
- 共有インフラストラクチャのコストを、アプリケーション所有者たちの間で配賦できますか? (多くの場合、専用サブスクリプションは、Microsoft Entra ID、監視、パッチ適用ツールなどの共有インフラストラクチャに対して使用されます。)
- 運用管理、セキュリティ、ID 同期、接続、または DevOps チーム用に共有サービス サブスクリプションを使用して、より明確に職務を分離する必要がありますか?
演習: 管理グループにサブスクリプションを追加する
各環境ノードに既存のサブスクリプションを追加して、運用、開発、および QA の各リソースを明確に分けます。
図 5: 管理グループにサブスクリプションを追加する。
管理グループへのサブスクリプションの追加に関するガイダンスについては、攻略ガイドを参照してください。
タグ付け
管理グループには、最も優先度の高い組織構造が反映されます。 タグ付けには、メタデータにも反映されるさまざまな整理の原則が反映されます。 すべてのワークロードに対して提案されるタグは次のとおりです。
- ワークロード (および/またはアプリケーション)
- データの機密性 (例については、データ分類に関する記事を参照)
- ミッションの重要度 (例については、ワークロードの重要度に関する記事を参照)
- 所有者
- 部署 (コスト センター)
- 環境
演習: タグ付けポリシーを割り当てる
Azure ポリシーは、管理グループ内のすべてのサブスクリプションに適用できます。 ガバナンス基盤におけるポリシーの役割を理解するには、階層内のいずれかの管理グループにポリシーを適用します。
図 6: Azure portal でポリシーを割り当てる。
ポリシーの適用に関するガイダンスについては、ポリシーの作成と管理に関するチュートリアルを確認してください
- ポリシーを割り当てるための手順 4 には、スコープについての説明があります。 この手順で管理グループを選び、管理グループ内のすべてのサブスクリプションにポリシーが確実に適用されるようにします。
- 手順 6 および 7 には、ポリシー定義に関する説明があります。 [組み込み] ポリシーの一覧から、タグ付けに関連するいずれかのポリシーを選択することをお勧めします。 具体的には、すべてのリソースにタグを必須とするポリシーは、ガバナンスの基盤を確立するのに役立ちます。
重要
チュートリアルのステップ 9 では、[ポリシーの適用] について説明されています。 ガバナンスについて学習するときは、[ポリシーの適用] を [無効] に設定してください。 この設定を無効にすると、何も変更することなく環境を監査でき、将来のデプロイが妨げられません。
デプロイ高速化
すべてのガバナンス変更をブループリントにパッケージ化すると、デプロイが高速化され、一貫性のあるガバナンスの適用を実現できます。 次の演習でブループリントを割り当てる際に、割り当てられた管理グループ内のすべてのサブスクリプションに、一貫してガバナンスが適用されます。 また、それらのサブスクリプション内すべてのリソース グループと資産にもガバナンスが適用されます。
演習: CAF 基盤のブループリントを割り当てる
Azure Blueprints を使用して、Azure Resource Manager テンプレート、Azure ポリシー、およびロールベースのアクセス制御設定を 1 つのパッケージにパッケージ化します。 Azure 向けのクラウド導入フレームワーク (CAF) 基盤のブループリントには、クラウド ガバナンスでブループリントを使用して次のことを行うための例と出発点が用意されています。
- Azure Key Vault をデプロイする
- Azure Monitor ログで Log Analytics をデプロイします
- Microsoft Defender for Cloud (標準のバージョン) をデプロイする
また、CAF 基盤のブループリントによって、次のことを行うためのポリシーが定義され、デプロイされます。
cost center
タグをリソース グループに適用するcost center
タグでリソース グループ内のリソースを追加する- リソースとリソース グループに対して Azure リージョンを許可する
- ストレージ アカウントの SKU を許可する (デプロイ時に選択)
- Azure Virtual Machines SKU を許可する (デプロイ時に選択)
- Azure Network Watcher のデプロイを要求する
- Azure ストレージ アカウントに対して転送のセキュリティで保護された暗号化を要求する
- リソースの種類を拒否する (デプロイ時に選択)
- Microsoft Defender for Cloud での監視を有効にするイニシアティブを作成する (89 ポリシー)
記載されている手順に従って、このサンプル ブループリントを発行し、ご自分の管理グループに割り当てます。
演習: 現在の環境を評価する
多くの場合、お客様は、複数のサブスクリプションにわたって既存の成熟した導入取り組みにガバナンスを追加しようとしています。 ポートフォリオ全体でガバナンス プラクティスを成熟させながら、Azure ガバナンス ビジュアライザーを使用して、現在のガバナンス構成に関する分析情報を得ることができます。
図 7: Azure ガバナンス ビジュアライザー。
Azure ガバナンス ビジュアライザーをデプロイして、管理グループ、ブループリント、ポリシー、その他のガバナンス構成がお使いの環境全体にどのように適用されているかを確認します。
これらの演習は、ガバナンスの出発点または基盤を示すのに役立ちます。 次のユニットでは、この基盤に基づいて、成熟したコスト管理の規範を確立します。