Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Avatar for Hirono Baba Hirono Baba
May 13, 2023
Technology
0
960

Azure Policyとガバナンスのおはなし/globalazure2023-baba

Global Azure2023で発表したセッションです。

Avatar for Hirono Baba

Hirono Baba

May 13, 2023
Tweet

More Decks by Hirono Baba

See All by Hirono Baba
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
Avatar for Hirono Baba nina01
0
310
Azure AI servicesと歯のおはなし/AzureTravelers_Fukuoka2024_baba
Avatar for Hirono Baba nina01
1
190
cloudugnight2nd-20240531
Avatar for Hirono Baba nina01
1
400
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
Avatar for Hirono Baba nina01
1
410
Azure FunctionsのAOAIバインド機能を試してみる/dotnet2days20240118-baba
Avatar for Hirono Baba nina01
0
180
AzureでWaiting roomをつくる!新米アーキテクトの挑戦記/jazug-for-women-20231215-baba
Avatar for Hirono Baba nina01
1
880
開発者のためのGitHub Advanced Security入門セキュリティを向上させよう!/cndfpre2023-baba
Avatar for Hirono Baba nina01
1
1.3k
Azure Functionsをサクッと開発、サクッとデプロイ/vscodeconf2023-baba
Avatar for Hirono Baba nina01
2
1.3k

Other Decks in Technology

See All in Technology
#22 CA × atmaCup 3rd 1st Place Solution
Avatar for yumizu yumizu
1
150
迷わない!AI×MCP連携のリファレンスアーキテクチャ完全ガイド
Avatar for CData Software Japan cdataj
0
460
Models vs Bounded Contexts for Domain Modularizati...
Avatar for Eberhard Wolff ewolff
0
140
あの夜、私たちは「人間」に戻った。 ── 災害ユートピア、贈与、そしてアジャイルの再構築 / 20260108 Hiromitsu Akiba
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
580
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
340
テストセンター受験、オンライン受験、どっちなんだい?
Avatar for Yuuki Yamashita yama3133
0
210
「駆動」って言葉、なんかカッコイイ_Mitz
Avatar for comucal comucal
PRO
0
140
ソフトとハード両方いけるデータ人材の育て方
Avatar for Yuta Ozaki waiwai2111
0
110
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.5k
産業的変化も組織的変化も乗り越えられるチームへの成長 〜チームの変化から見出す明るい未来〜
Avatar for KAKEHASHI kakehashi
PRO
1
510
困ったCSVファイルの話
Avatar for もっち mottyzzz
0
160
「違う現場で格闘する二人」——社内コミュニティがつないだトヨタ流アジャイルの実践とその先
Avatar for Shin shinichitakeuchi
0
310

Featured

See All Featured
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
52
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
82
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
34k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
50
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.3k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
330
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
780
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
230
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
330
40k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.6k

Transcript

  1. Azure Policyとガバナンスのおはなし 2023/5/13 Global Azure 2023 馬場ひろの Hirono Baba

  2. スピーカーについて ◼ 馬場ひろの ◼ (株)オルターブース所属 ◼ ex歯医者さん ◼ 福岡から来ました ◼

    認定スクラムマスター ◼ AzureやGitHub, .NETがんばって ます @nina-sensei
  3. None

  4. アジェンダ ◼ 今日話すこと ◼ Azureのガバナンスについて ◼ Azure Policy ◼ ガバナンスを運用しよう

    ◼ ガバナンスのテンプレートたち ◼ Azure Blueprintsでテンプレートのポリシーを一括デプロイ ◼ Azure Governance Visualizer ◼ 対象者 ◼ ガバナンスって何?と思っているひと ◼ 組織でのAzure運用に課題を抱えているひと ◼ Azureを扱うすべてのひと

  5. Azureのガバナンスについて

  6. Copyright © Alterbooth Inc. All Rights Reserved. 6 この処理がうまくいくか仮想マシンの リソース作って検証してみてね

    わかりました!(ぽちぽち) (…!何でそんなハイスペック(コスト高)で 作ったのか!) (1か月後)できました! 先輩Aさん 新人Bくん

  7. どうすれば回避できたのか ◼ 先輩Aさんがスペックを指定する ◼ 新人Bくんが作る前に確認を取る ◼ より密なコミュニケーション ◼ 特定のスペック以上のVMを作れないようAzure側で制御する ガバナンス

  8. リソースを適切に作成していく流れ 顧客、コスト センター、 環境などのさまざまな次 元によってコストを引き 出すことができる必要が ある 財務 / ビジネス

    適切なアクセス許可 を持つロールを作成 リソース グループ内 のリソースには、必 要に応じてタグを付 ける必要がある タグ 常にタグ付け! • 所有者 • 部門 • 環境 • アプリケーション • (コスト センター) タグ ◼ 組織で使うAzureでリソースを作る時、作り方のルールがないと無秩序になる ◼ 財務/ビジネス →ロール → リソース作成

  9. Azure PolicyはAzureのガバナンスツール ◼ Azure Policyとは ◼ Azure Policyはリソースがビジネスルールに準拠し ているかを定義する ◼

    ポリシー定義(1つ)、イニシアチブ定義(複数) ◼ 親スコープは子スコープを継承する ◼ AzurePolicyでできること ◼ 特定のリージョンのみにしかリソースを作ること ができない ◼ VMの作成を特定のサイズに限定する ◼ タグを必須化 ◼ カスタムポリシー などなど ↑ポリシー定義:JSON

  10. Azure PolicyとRBACの違い ◼ AzurePolicy ◼ Azure Policyはリソースがビジネスルールに準拠しているかを定義する ◼ やってはいけないことを制御する ◼

    RBAC(ロールベースのアクセス制御) ◼ ユーザーがどんな権限を持っているかを定義する ◼ やっていいことの許可を与える

  11. ガバナンスを運用しよう

  12. ガバナンスを最適化する アプリケーション リソース (VM,DB、ストレージ) IAM ポリシー キー 監視 アプリケーション アプリケーション

    アプリケーション アプリケーション Landing Zone ユーザロール サブスクリプショ ンポリシー(リ ソースプロバイ ダー) メトリクス、ログ管 理、アラート、セ キュリティ アプリケー ションテンプ レート トラフィック、プ ラーベート接続、パ ブリック/プライベー トゾーン 共有サービス(IaaS 上で構成されたディ レクトリーサービス やファイルサー バー) 出典:Azure ランディング ゾーンとは - Cloud Adoption Framework | Microsoft Learn ガバナンス運用管理テンプレート

  13. CAF(Cloud Adoption Framework) 戦略 動機の明確化 期待されるビジネス成果 ビジネス適用の妥当性 プロジェクトの優先順位付 け プラン

    デジタル資産の把握 初期の組織配置 スキル習得、計画 クラウド導入計画の策定 Ready Azure setup guide First landing zone Expand the landing zone Best practice validation 採用 Migrate 最初のシステム移行 移行シナリオの拡張 ベストプラクティスの検証 運用プロセスの改善 Innovate イノベーションガイド 開発シナリオの拡張 ベストプラクティスの検証 開発プロセスの改善 ガバナンス 方法論策定 ベンチマークの初期ベスト プラクティス ガバナンスの成熟 管理 ビジネス上のコミットメント 運用ベースライン 運用の成熟度 Ready 運用モデルの検討 ランディングゾーンの概念 設計領域のガイド 実装オプションの選択 セキュリティ リスクの洞察 ビジネスのレジリエンス 資産保護 出典:Azure 向けの Microsoft クラウド導入フレームワークとは ビジネス&テクノロジ戦略のテンプレート( Landing Zoneが定義されてる)

  14. CAFはベストプラクティス、ドキュメント、 ツールを提供 ◼ 管理 ◼ Azure Well-Architected Review ◼ ベスト

    プラクティス ソース コード ◼ 運用管理ブック ◼ ガバナンス ◼ ガバナンス ベンチマーク ◼ ガバナンス 規範 テンプレート ◼ Cost Management 規範テンプレート ◼ デプロイ高速化規範テンプレート ◼ ID ベースライン規範テンプレート ◼ リソースの整合性規範テンプレート ◼ セキュリティベースライン規範テンプレート ◼ ガバナンスビジュアライザー ◼ Azure Security Benchmark 出典:ツールとテンプレート - Cloud Adoption Framework | Microsoft Learn

  15. Azure Blueprints(※Preview) ◼ 決められたリソースや環境を一括でデプロイできるサービス ◼ ガバナンス系のテンプレートがいくつか用意されている ◼Landing Zoneのテンプレート ◼ Foundation

    blueprint(CAFの基本) ◼ Migration blueprint ◼ Terraform modules ◼ Enterprise-scale Landing Zones

  16. 組織が大きくなると果てしなくポリシーが… ◼ 管理グループ、サブスクリプション、リ ソースグループ、それぞれの階層でポリ シーを設定できる ◼ 上位の管理グループからポリシーを継承 することができる ◼ 組織が大きくなればなるほど、「どこで設

    定されたポリシー」かわかりづらくなる

  17. Azure Governance Visualizerで見える化 ◼ Azure Governance Visualizerとは ◼ Azure PolicyやRBACなど、Azureガバナンス関連の情報を取得するPowerShellスクリプト

    ◼ Azure Governance Visualizerでできるもの HierarchyMap DefinitionInsights, ScopeInsights TenantSummary その他

  18. Azure Governance Visualizerやってみた 管理グループ サブスクリプション1 サブスクリプション2 リソースグループ1 リソースグループ2 … ブループリント

    CAFの基礎 // Azureに接続 Connect-AzAccount -TenantId xxx ` –UseDeviceAuthentication // 管理グループを指定して実行 .¥AzGovVizParallel.ps1 ` -ManagementGroupId yyy 検証環境 ◼ 管理グループの「Reader」の権限があれば 実行可能 ◼ サービスプリンシパルを利用して実行する こともできる https://github.com/JulianHayward/Azure-MG-Sub-Governance-Reporting
  19. None

  20. Azure Governance Visualizerを自動化 ◼ Azure DevOps、GithHub Actionsで自動実行可能 ◼ わざわざ自動化する必要あるの? ◼

    「組織」は常に変化するもの ◼ 技術的なシステムの運用方法 + ビジネス戦略 ◼ 組織の成熟度によって戦略的な方向性、人材 組織、ガバナンス、リスク、コンプライアン スを見直していくべき ◼ そのためパイプライン、ワークフローを組ん でおこう

  21. まとめ Azure Policy ガバナンスを定義する Azure Blueprints 標準化された環境を一括デプロイ ビジネス&テクノロジ戦略のテンプレート CAF ・CAFの基本テンプレート

    ・ ・ ガバナンス運用管理テンプレート Landing Zone Landing Zone デプロイする ポリシーがテンプレで いくつか定義されてる Governance Visualizer ポリシーを可視化するツール

  22. おしまい ◼ Azure Policyでガバナンスを作成 ◼ Azure BlueprintsでLanding Zoneを一括デプロイ ◼ ガバナンスは組織の成熟度によって見直すべき

    ◼ 適切に運用、見直しできるよう自動化しよう