目次
統治・ガバナンス(Governance)【AZ-900対策】
統治・ガバナンスとは、企業がクラウドを適切に運用するためのルール設定・管理・制御を行う仕組みのことです。
クラウド環境は自由度が高い反面、
「誰でも勝手にリソースを作る」「セキュリティルールがバラバラ」
といった運用リスクが発生します。
それを防ぐために、Azure では標準でガバナンス機能が提供されます。
なぜガバナンスが必要なのか
クラウド運用で起きる典型的な問題:
- コストの予算オーバー
- 不適切なセキュリティ設定
- 部署ごとにルールが違う
- どこに何のリソースがあるかわからない
- リソース削除の事故
- コンプライアンス違反
これらを防ぐため、クラウドには 統一的なルールと管理機能 が必要です。
Azure が提供するガバナンス機能
ガバナンスに関わる Azure の主要サービスは次のとおりです。
Azure Policy(最も重要)
Azure Policy は ルールを強制する仕組み です。
例:
- “全てのストレージは HTTPS のみ許可”
- “指定されたリージョンのみ利用可能”
- “タグが設定されていないリソースは作成禁止”
ルールに違反するリソースを自動的に検出し、強制することが可能 です。
→ AZ-900 では非常に重要な項目です。
Azure Blueprints(環境テンプレート)
Azure Blueprints は ガバナンスを一式まとめてテンプレート化する仕組み です。
一括管理できる内容:
- ポリシー
- RBAC(アクセス権)
- ARM テンプレート
- リソース構成
- ネーミングルール
企業全体の標準展開として利用されます。
リソースロック(Resource Locks)
誤って削除されることを防ぐための機能。
種類
- ReadOnly ロック(変更不可)
- Delete ロック(削除不可)
重要なリソース(本番環境など)には必須の設定です。
リソースタグ(Tags)
リソースに タグ(メタデータ) を付与し、管理を容易にする仕組み。
利用例
- コスト管理(部門ごとにタグ付け)
- リソースの分類(用途、環境、担当者)
- 自動化(タグに基づいた管理)
タグは Azure Policy と連携して運用ルールを強化できます。
管理グループ(Management Groups)
複数サブスクリプションをまとめて管理できる階層構造です。
特徴
- 企業全体のポリシーをまとめて適用
- 部署単位で管理を分離
- 大規模組織向けの上位概念
RBAC(ロールベースアクセス制御)
ガバナンスの一部として必須の概念。
- ユーザー・グループ・サービスに必要最小限の権限を付与
- 管理者権限の乱用を防止
- 最小権限の原則(Least Privilege)
例:
- Reader → 読み取りのみ
- Contributor → 変更できるが削除不可
- Owner → すべて可能
ガバナンスとセキュリティの違い
似ていますが、役割が異なります。
| 概念 | 役割 |
|---|---|
| セキュリティ | 外部/内部の脅威から守る |
| ガバナンス | ルール・標準・運用ポリシーを整える |
両方が整うことで安全で統制されたクラウド運用が可能になります。
AZ-900で理解すべきポイント
- ガバナンス=クラウド運用のルール設定・制御
- Azure Policy = ルールを強制する仕組み
- Blueprints = ガバナンス一式のテンプレート
- リソースロック = 誤削除防止
- タグ = コスト・管理用の分類
- 管理グループ = サブスクリプションを束ねて管理
- RBAC = 最小権限でアクセス制御