Question#4(AZ-500)
RG1 という名前のリソースグループと、次の表に示すネットワークセキュリティグループ(NSG)を含む Azure サブスクリプションがあります。 
次の図に示す Azure Policy を作成して割り当てます。 
Azure Policy が割り当てられた後の、NSG1 と NSG2 のフローログの状態はどうなりますか?
次の図に示す Azure Policy を作成して割り当てます。 Azure Policy が割り当てられた後の、NSG1 と NSG2 のフローログの状態はどうなりますか?正解:D
この問題には、受験者が陥りやすい2つの重要なポイントがあります。
1. ポリシー効果(effect)が Audit であること
ここが最大のポイントです。
ポリシーの
effect(効果)がAudit(監査) に設定されている場合、そのポリシーはリソースが準拠しているかどうかを 「チェックして報告」するだけ で、リソースの設定を 「変更(有効化)」することはありません。もし自動的に有効化したい場合は、
DeployIfNotExistsやModifyといった効果を使用する必要があります。
2. 除外設定(Exclusions)の影響
NSG1 は「除外」リストに入っているため、このポリシーによる評価(準拠/非準拠のチェック)自体が行われません。
NSG2 はポリシーの評価対象になりますが、効果が
Auditであるため、ポータル上で「非準拠(Non-compliant)」と表示されるだけで、フローログの状態は「オフ」のまま変わりません。
コメント