AZ900-Manage#20-3
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある企業が Azure 環境のガバナンスを強化します。要件は、すべてのリソースに「CostCenter」「Owner」Tag を必須化、特定リージョン (Japan East / West) 以外でのリソース作成を拒否、Production の重要リソースは誤削除を防止、の 3 点です。
解決策
Production 環境の重要リソース (SQL Database / Storage Account / Key Vault) に CanNotDelete ロックを適用し、Owner ロール権限でも誤削除を防ぐ。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
Resource Locks の CanNotDelete を Production の重要リソース (SQL DB / Storage / Key Vault / App Gateway 等) に適用すると、読み取り / 変更は通常通り可能でも削除アクションのみが完全にブロックされます。Owner 権限保持者でも「ロック解除 → 削除」の 2 段階が必要で、要件 3 を完璧に満たします。
【「いいえ」が違う理由】
Lock は RBAC と独立した保護レイヤーで、本番 DB / Storage 誤削除事故を防いだ実績があります。より厳格な ReadOnly も適用可能で、Azure Policy の deployIfNotExists で「特定 Tag のリソースに自動 Lock 付与」を実装すればガバナンスを完全自動化できます。3 ソリューションで要件 1-3 を完全カバーします。
コメント