pages

AZ900対策メモ

ロールベースのアクセス制御(RBAC)

Azureリソースに対するアクセス権を管理するための仕組み

• 何に対して(スコープ) サブスクリプション、リソースグループ
• どんな操作を(ロール) 所有者、共同作成者、閲覧者
• 誰に対して(グループ、メンバ、ID) ユーザ、サービスプリンシパル(アプリケーションに割り当てるID)、マネージドID(仮想マシンなど、Azureリソースに割り当てるID)、デバイス

親スコープに対して付与するアクセス権は子スコープに継承

Azureでは、一般的なアクセス規則が記述された「組み込みロール」が初めから用意されている 利用者が独自のロール(カスタムロール)を作成することも可能

Microsoft Purview

企業のインフラ環境は現実的にはどこか一つのクラウドだけで成り立つことは少なく、既存のオンプレミス環境とハイブリッドで構成していたり、AWS,GCPなど他社のパブリッククラウドやPowerBI,SalesForceなどのSaaSサービスを併用していることがよくある。

Microsoft Purviewではそれら複数の環境に存在している組織のデータを検出して統合し、包括的な方法でデータを管理・保護することができる。 組織のデータを横断的に検出、分類、保護、監視するためのサービス

Azure advisor

Azureの利用状況を自動的に分析し、

• コスト削減
• セキュリティ向上
• パフォーマンス向上
• 信頼性向上
• 運用の優秀性 の5つの観点からベストプラクティスに基づく具体的な改善提案(推奨事項)を提供するクラウドコンサルタントサービス

Azure service health

Azureの障害や計画的メンテナンス、その他可用性に影響する可能性のある変更などを把握するためのサービス

• Azureの状態 リージョンごとのAzureのサービス稼働状況 Azureポータルとは別で提供Azureの状態 Azureポータルにサインインできない、Service Health(サービス正常性)にアクセスできない場合のステータスチェック

• Service Health(サービス正常性) Azureの情報と同様、Azureサービスが正しく動作しているかを知るためのサービス リージョン規模の障害など大規模障害があった場合にダッシュボードから確認したり、アラートルールを登録しておくことで通知を受け取ることも可能
  • サービスに関する問題
  • 計画メンテナンス
  • 正常性の勧告
  • セキュリティアドバイザリ
• Resource Health(リソース正常性) 仮想マシンをホストする物理マシンの障害、ディスク劣化による障害予兆が検知された場合、サービス正常性では気づくことができない

Azure Monitor

Azure上で提供されているシステム監視のマネージドサービス 監視や分析のための入り口 Azure上で動作する仮想マシンのアプリケーションやITインフラの統計情報の収集・可視化・分析を統合的に行う オンプレミスのサーバにエージェントをインストールし収集することも可能

収集するデータの形式は大きく分けて2つ

• メトリック:システムの何らかの側面を測定して数値化したもの CPU、メモリ、ネットワークトラフィック
• ログ:システム内で発生したイベント Log Analyticsワークスペースというリソースにデータが保存される

Azure Service HealthもAzure Monitor Azure Service Health+ログ関連のイメージ