おばんです。ガリガリ君ラバーズの荒井です。
社内の若手層からもらったQAを備忘録がてらブログでメモメモ。ざっくり・オブ・ざっくりブログですが、記録残しまーす！

Azureでガバナンスを効かせる時は、Blueprints、イニシアティブ、Azure Policyを使おう！

どんなことができるの？

準拠していないリソースを処理するためのビジネス ルールは、組織によって大きく異なります。 たとえば、組織がプラットフォームで準拠していないリソースに対応する方法には、以下のようなものがあります。
・リソースの変更を拒否する
・リソースへの変更をログに記録する
・変更前にリソースを変更する
・変更後にリソースを変更する
・準拠している関連リソースをデプロイする

引用元：Azure Policy とは

簡単に言うと？

Azureリソースをデプロイする時に、デプロイ対象リソースプロパティ(属性)に着目して、ルール違反(*)があれば明示的にデプロイを否認するシステムです。
これを活用すれば、ルール違反しているAzureリソースが世界に生まれ落ちないことになります。
(*)作成しちゃいけないインスタンスサイズを指定しているとか

Blueprints？イニシアティブ？Azure Policy？色々あってよくわからない。

ざっくり表すと以下の図のような関係です。最小単位はAzurePolicy一つから構成できますが、ガバナンスを効かせる範囲が増えると管理がメンディです。イニシアティブ、Blueprintsでグループ化し最適化しましょう。
Blueprints１：イニシアティブ N、イニシアティブ１：AzurePolicy Nみたいな関係です。定義したポリシー(Blueprints、イニシアティブ、AzurePolicy)は、リソースグループ、サブスクリプション、管理グループなどに適用できます。適用の組み合わせは以下をご覧くださいませー。うまいこと管理して運用負荷を減らしましょうー。

いかがでしょうか！？
ざっくり理解できましたら幸いです。

もっと詳細が知りたい人は、試しに作ってみましょう！それが一番近道です。
クイック スタート:ポータル内でブループリントを定義して割り当てる

以上、「ざっくり覚えるAzure Blueprints、イニシアティブ、Azure Policyの関係性とサブスク達」ブログでした！

最後までお読みいただき、ありがとうございました！