AZ900-Manage#20-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある企業が Azure 環境のガバナンスを強化します。要件は、すべてのリソースに「CostCenter」「Owner」Tag を必須化、特定リージョン (Japan East / West) 以外でのリソース作成を拒否、Production の重要リソースは誤削除を防止、の 3 点です。
解決策
Azure Policy で「CostCenter / Owner Tag が付与されていないリソースは作成を拒否 (Deny)」というカスタム ポリシーを Management Group に割り当てる。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
Azure Policy の Deny 効果は組み込み Policy「Require a tag on resources」をカスタマイズし、CostCenter / Owner Tag がないリソース作成を ARM レベルで拒否できます。Management Group に割り当てれば配下サブスクリプションに自動継承され、組織全体に一貫したガバナンスが適用されるため要件 1 を完璧に満たします。
【「いいえ」が違う理由】
既存リソースは Modify / DeployIfNotExists 効果で自動修正できビジネス継続性も保たれます。Tag 付与漏れを防ぐことで Cost Management のチャージバックや棚卸し作業が効率化されます。要件 2 / 3 は別 Policy / Lock が必要ですが本解決策は要件 1 を解決し CAF でも最優先の取り組みです。
コメント