Azure Monitor 用の組み込みポリシー

次の手順では、キー コンテナーの監査ログを Log Analytics ワークスペースに送信するポリシーを適用する方法を示します。

1. [ポリシー] ページで、[定義] を選択します。

2. スコープを選択します。 ポリシーは、サブスクリプション全体、リソース グループ、または個々のリソースに対して適用できます。

3. [定義の種類] ドロップダウンから [ポリシー] を選択します。

4. [カテゴリ] ドロップダウンから [監視] を選択します。

5. [検索] フィールドに「keyvault」と入力します。

6. Key vaults (microsoft.keyvault/vaults) に対してカテゴリ グループ単位で Log Analytics へのログ記録を有効にするポリシーを選択します。

7. ポリシー定義ページで、[割り当て] を選択します

8. [パラメーター] タブをクリックします。

9. 監査ログの送信先とする Log Analytics ワークスペースを選択します。

10. [修復] タブを選択します。

11. [修復] タブで、[修復するポリシー] ドロップダウンから keyvault ポリシーを選択します。

12. [マネージド ID を作成します] チェックボックスをオンにします。

13. [マネージド ID の種類] で、[システム割り当てマネージド ID] を選択します。

14. [確認および作成] を選択し、[作成] を選択します。

CLI を使用してポリシーを適用するには、次のコマンドを使用します。

1. az policy assignment create を使用してポリシー割り当てを作成します。

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --___location <___location>
   

   たとえば、ログ分析ワークスペースに監査ログを送信するポリシーを適用します

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --___location eastus
   

2. ポリシー割り当て用に作成された ID に必要なロールを割り当てます。 roleDefinitionIds を検索して、ポリシー定義でロールを見つけます

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   az policy assignment identity assign を使用して、必要なロールを割り当てます。

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   例えば次が挙げられます。

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1
   

3. az policy state trigger-scan を使用して、既存のリソースを検索するスキャンをトリガーします。

   az policy state trigger-scan --resource-group rg-001
   

4. az policy remediation create を使用して、既存のリソースにポリシーを適用する修復タスクを作成します。

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   たとえば、

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

CLI を使用したポリシーの割り当ての詳細については、「Azure CLI リファレンス - az policy assignment」を参照してください。

PowerShell を使用してポリシーを適用するには、次のコマンドを使用します。

1. 環境を設定します。 サブスクリプションを選択し、リソース グループを設定します

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. ポリシー定義を取得し、ポリシーのパラメーターを構成します。 下の例では、keyVault ログを Log Analytics ワークスペースに送信するポリシーを割り当てます

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. ポリシーを割り当てる

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <___location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. 必要なロールをシステムに割り当てられたマネージド ID に割り当てます

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. コンプライアンスをスキャンしてから、既存のリソースのコンプライアンスを強制する修復タスクを作成します。

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. コンプライアンスの確認

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

1. ポリシーの [定義] ページで、スコープを選択します。

2. [定義の種類] ドロップダウンで [イニシアティブ] を選択します。

3. [カテゴリ] ドロップダウンで [監視] を選択します。

4. [検索] フィールドに「audit」と入力します。

5. [サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする] イニシアティブを選択します。

6. 次のページで、[割り当て] を選択します。

7. [イニシアティブの割り当て] ページの [基本] タブで、イニシアティブを適用するスコープを選択します。

8. [割り当て名] フィールドに名前を入力します。

9. [パラメーター] タブを選択します。

   [パラメーター] には、ポリシーで定義されているパラメーターが含まれています。 この場合は、ログを送信する Log Analytics ワークスペースを選択する必要があります。 各ポリシーの個々のパラメーターの詳細については、「ポリシー固有のパラメーター」を参照してください。

10. 監査ログを送信する Log Analytics ワークスペースを選択します。

11. [確認と作成]、[作成] の順に選択します。

ポリシーまたはイニシアティブの割り当てが機能していることを確認するには、ポリシー割り当てで定義したサブスクリプションまたはリソース グループ スコープにリソースを作成します。

10 分後に、リソースの [診断設定] ページを選択します。 既定の名前 setByPolicy-LogAnalytics と、ポリシーで構成したワークスペース名を含む診断設定が一覧に表示されます。

[イニシアティブの割り当て] またはポリシー ページの [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] チェックボックスをオフにして、既定の名前を変更します。

1. 環境変数を設定します

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. イニシアティブ定義を取得します。 この例では、イニシアティブ "サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする"、ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" を使用します

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1;
   

3. 割り当て名を設定し、パラメーターを構成します。 このイニシアチブの場合、パラメーターには Log Analytics ワークスペース ID が含まれます。

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. パラメーターを使用してイニシアティブを割り当てます

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. システムに割り当てられたマネージドアイデンティティにContributorロールを割り当てます。 その他のイニシアティブについては、必要なロールを確認してください。

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. ポリシー コンプライアンスをスキャンします。 Start-AzPolicyComplianceScan コマンドが返されるまで数分かかります

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Get-AzPolicyState を呼び出して、修復するリソースと必要なパラメーターの一覧を取得します

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. 非準拠のリソースがあるリソースの種類ごとに、修復タスクを開始します。

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. 修復タスクが完了したら、コンプライアンスの状態を確認します。

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

ポリシー割り当ての詳細は、次のコマンドを使用して取得できます。

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

1. az login コマンドを使用して Azure アカウントにサインインします。

2. az account set コマンドを使用して、ポリシー イニシアチブを適用するサブスクリプションを選択します。

3. az policy assignment create を使用してイニシアティブを割り当てます。

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --___location <___location>
   

   例えば次が挙げられます。

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1' --params '{"logAnalytics":{"value":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --___location eastus
   

4. システム マネージド ID に必要なロールを割り当てます

   roleDefinitionIds の定義を検索して、イニシアティブ内のポリシー定義で割り当てるロールを見つけます。次に例を示します。

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   az policy assignment identity assign を使用して、必要なロールを割り当てます。

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   例えば次が挙げられます。

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. イニシアティブ内のポリシーの修復タスクを作成します。

   修復タスクはポリシーごとに作成されます。 各タスクは、イニシアティブで definition-reference-id として指定された特定の policyDefinitionReferenceId に対するものです。 definition-reference-id パラメーターを見つけるには、次のコマンドを使用します。

   az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId
   

   az policy remediation create を使用してリソースを修復します

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   例えば次が挙げられます。

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   イニシアティブ内のすべてのポリシーの修復タスクを作成するには、次の例を使用します。

   for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done