مشاركة عبر

ما Azure Policy؟

توضح هذه النظرة العامة كيف يساعد نهج Azure في فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. من خلال لوحة معلومات الامتثال الخاصة به، فإنه يوفر عرضًا مجمعًا لتقييم الحالة العامة للبيئة، مع القدرة على التنقل التفصيلي إلى مستوى الدقة لكل مورد، ولكل سياسة. كما أنه يساعد على تحقيق التوافق مع مواردك من خلال المعالجة الجماعية للموارد الحالية والمعالجة التلقائية للموارد الجديدة.

إشعار

لمزيد من المعلومات حول المعالجة، راجع معالجة الموارد غير المتوافقة باستخدام نهج Azure.

تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة. تتوفر تعريفات النهج لحالات الاستخدام الشائعة هذه بالفعل في بيئة Azure كمضمَّنات لمساعدتك على البدء.

تتضمن بعض إجراءات الحوكمة المفيدة التي يمكنك فرضها باستخدام نهج Azure ما يلي:

  • تأكد من أن فريقك ينشر موارد Azure فقط إلى المناطق المسموح بها.
  • فرض التطبيق المتسق للعلامات التصنيفية.
  • طلب موارد لإرسال سجلات التشخيص إلى مساحة عمل Log Analytics.

من المهم أن تدرك أنه مع إدخال Azure Arc، يمكنك توسيع الحوكمة المستندة إلى النهج عبر موفري السحابة المختلفين وحتى مراكز البيانات المحلية.

تُشفير كل بيانات Azure Policy وعناصره في حالة ثبات البيانات. للحصول على مزيد من المعلومات، راجع تشفير بيانات Azure في حالة ثبات البيانات.

نظرة عامة

يقيم نهج Azure الموارد والإجراءات في Azure من خلال مقارنة خصائص هذه الموارد بقواعد العمل. تُعرف قواعد العمل هذه، الموضحة في تنسيق JSON،بتعريفات النهج. لتبسيط الإدارة، يمكن تجميع العديد من قواعد العمل معا لتشكيل مبادرة سياسة، يشار إليها أيضا باسم مجموعة السياسات.

بعد تشكيل قواعد عملك، يتم تعيين تعريف النهج أو المبادرة إلى أي نطاق من الموارد التي يدعمها Azure. على سبيل المثال، مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو الموارد الفردية. ينطبق التعيين على كل الموارد ضمن نطاق Resource Manager لهذا التعيين. يمكن استبعاد النطاقات الفرعية، إذا لزم الأمر. للحصول على مزيد من المعلومات، راجع النطاق في Azure Policy.

تستخدم Azure Policy تنسيق JSON لتشكيل المنطق الذي يستخدمه التقييم لتحديد ما إذا كان المورد متوافقاً أم لا. تتضمن التعريفات بيانات التعريف وقاعدة النهج. يمكن أن تستخدم قاعدة المعرفة الدالات والمعلمات والعوامل المنطقية والشروط والأسماء المستعارة للخاصية لمطابقة السيناريو الذي تريده بالضبط. تحدد قاعدة النهج الموارد الموجودة في نطاق التعيين التي تقيَّم.

فهم نتائج التقييم

تقيَّم الموارد في أوقات محددة خلال دورة حياة الموارد ودورة حياة تعيين النهج ولتقييم الامتثال المستمر المنتظم. فيما يلي الأوقات أو الحالات التي تتسبب في تقييم أحد الموارد:

  • يتم إنشاء مورد أو تحديثه في نطاق مع تعيين سياسة.
  • يحصل النطاق على تعيين جديد لنهج أو مبادرة.
  • يتم تحديث منهج أو مبادرة حديثاً بالفعل إلى نطاق.
  • دورة تقييم الامتثال القياسية التي تحدث مرة كل 24 ساعة.

للحصول على معلومات مفصلة حول الوقت الذي يحدث فيه تقييم النهج وكيفيته، راجع مشغلات التقييم.

التحكم في الاستجابة للتقييم

تختلف قواعد العمل للتعامل مع الموارد غير المتوافقة بشكل كبير بين المؤسسات. تتضمن الأمثلة على كيفية رغبة المؤسسة في استجابة النظام الأساسي لمورد غير متوافق ما يلي:

  • رفض تغيير الموارد.
  • سجل التغيير في المورد.
  • قم بتغيير المورد قبل التغيير.
  • قم بتغيير المورد بعد التغيير.
  • توزيع الموارد المتوافقة ذات الصلة.
  • حظر الإجراءات على الموارد.

تجعل Azure Policy كلاً من هذه الاستجابات التجارية ممكنة من خلال تطبيق التأثيرات. يتم تعيين التأثيرات في جزء قاعدة النهج من تعريف النهج.

معالجة الموارد غير المتوافقة

بينما تؤثر هذه التأثيرات بشكل أساسي على المورد عند إنشاء المورد أو تحديثه، تدعم Azure Policy أيضاً التعامل مع الموارد غير المتوافقة الموجودة من دون الحاجة إلى تبديل هذا المورد. لمزيد من المعلومات حول جعل الموارد الحالية متوافقة، راجع معالجة الموارد غير المتوافقة باستخدام نهج Azure.

الشروع في العمل

Azure Policy والتحكم في الوصول استناداً إلى الدور (RBAC) في Azure

توجد بعض الاختلافات الأساسية بين Azure Policy والتحكم في الوصول استناداً إلى الدور (RBAC) في Azure. تقيّم Azure Policy الحالة من خلال فحص الخصائص على الموارد الممثلة في إدارة الموارد وخصائص بعض موفري الموارد. يضمن Azure Policy أن تكون حالة المورد متوافقة مع قواعد عملك من دون القلق بشأن من أجرى التغيير أو من لديه الإذن لإجراء تغيير. يمكن لنهج Azure من خلال تأثير DenyAction أيضا حظر إجراءات معينة على الموارد. تظهر بعض موارد Azure Policy، مثل تعريفات النهجوتعريفات المبادرةوالتعيينات، لجميع المستخدمين. يتيح هذا التصميم الشفافية لجميع المستخدمين والخدمات فيما يتعلق بقواعد النهج المعينة في بيئتهم.

يركز التحكم في الوصول استناداً إلى الدور (RBAC) في Azure على إدارة إجراءات المستخدم في نطاقات مختلفة. إذا كان التحكم في إجراء ما مطلوبا استنادا إلى معلومات المستخدم، فإن Azure RBAC هو الأداة الصحيحة التي يجب استخدامها. حتى إذا كان لدى الفرد حق الوصول لتنفيذ أحد الإجراءات، وكانت النتيجة مورداً غير متوافق، فإن Azure Policy لا تزال تحظر الإنشاء أو التحديث.

يوفر الجمع بين التحكم في الوصول استناداً إلى الدور (RBAC) في Azure وAzure Policy التحكم الكامل في النطاق في Azure.

أذونات التحكم في الوصول استناداً إلى الدور (RBAC) في Azure في Azure Policy

لدى Azure Policy أذونات عديدة، تعرف باسم العمليات، في اثنين من موفري الموارد:

تمنح العديد من الأدوار المضمنة الإذن لموارد Azure Policy. ويتضمن دور المساهم في نهج الموارد معظم عمليات Azure Policy. يتمتع المالك بكامل الحقوق. ويتمتع المساهم والقارئ بإمكانية الوصول إلى كل عمليات قراءة Azure Policy.

قد يقوم المساهم بتشغيل معالجة الموارد، ولكن لا يمكنه إنشاء التعريفات والتعيينات أو تحديثها. مسؤول وصول المستخدم ضروري لمنح الهوية المدارة أو deployIfNotExistsmodify التعيينات الأذونات اللازمة.

إشعار

جميع كائنات النهج، بما في ذلك التعريفات والمبادرات والتعيينات، قابلة للقراءة لجميع الأدوار في نطاقها. على سبيل المثال، يمكن لجميع أصحاب الأدوار في نطاق الاشتراك في Azure القراءة من قبل جميع أصحاب الأدوار في نطاق الاشتراك وأقل.

إذا لم يكن لدى أي من الأدوار المضمنة الأذونات المطلوبة، فقم بإنشاء دور مخصص.

يمكن أن يكون لعمليات نهج Azure تأثير كبير على بيئة Azure الخاصة بك. قم فقط بتعيين الحد الأدنى من مجموعة الأذونات اللازمة لتنفيذ مهمة ومنح هذه الأذونات فقط للمستخدمين الذين يحتاجون إلى إذن.

إشعار

تحتاج الهوية المدارة لتعيين deployIfNotExists النهج أو modify النهج إلى أذونات كافية لإنشاء الموارد المستهدفة أو تحديثها. لمزيد من المعلومات، راجع تكوين تعريف السياسة.

متطلبات الأذونات الخاصة لنهج Azure باستخدام Azure Virtual Network Manager

يمكنك Azure Virtual Network Manager (معاينة) من تطبيق نهج إدارة وأمان متسقة على شبكات Azure الظاهرية المتعددة عبر البنية الأساسية السحابية. تستخدم المجموعات الديناميكية ل Azure Virtual Network Manager (AVNM) تعريفات نهج Azure لتقييم عضوية الشبكة الظاهرية في تلك المجموعات.

لإنشاء نهج المجموعة الديناميكية ل Azure Virtual Network Manager أو تحريرها أو حذفها، تحتاج إلى:

  • قراءة وكتابة أذونات Azure RBAC إلى النهج الأساسي
  • أذونات Azure RBAC للانضمام إلى مجموعة الشبكة. تفويض المسؤول الكلاسيكي غير متاح.

إذن موفر الموارد المطلوب هو Microsoft.Network/networkManagers/networkGroups/join/action.

هام

لتعديل المجموعات الديناميكية AVNM، يجب منحك حق الوصول عبر تعيين دور Azure RBAC فقط. المسؤول الكلاسيكي أو التفويض القديم غير متوافق. إذا تم تعيين دور اشتراك Co-Administrator لحسابك فقط، فلن يكون لديك أذونات على مجموعات AVNM الديناميكية.

الموارد التي تغطيها Azure Policy

على الرغم من أنه يمكن تعيين نهج على مستوى مجموعة الإدارة، يتم تقييم الموارد فقط على مستوى الاشتراك أو مجموعة الموارد.

بالنسبة إلى بعض موفري الموارد مثل Machine configuration وAzure Kubernetes Service وAzure Key Vault، يوجد تكامل أعمق لإدارة الإعدادات والعناصر. لمعرفة المزيد، انتقل إلى أوضاع موفر الموارد.

التوصيات لإدارة النُهج

إليك بعض المؤشرات والنصائح التي يجب وضعها في الاعتبار:

  • ابدأ بتأثير audit أو auditIfNotExists بدلا من تأثير التنفيذ (deny، modify، deployIfNotExists) لتعقب كيفية تأثير تعريف النهج الخاص بك على الموارد الموجودة في بيئتك. إذا كانت لديك برامج نصية موجودة بالفعل لتحجيم تطبيقاتك تلقائيا، فقد يؤدي تعيين تأثير التنفيذ إلى إعاقة مهام التنفيذ التلقائية الموجودة بالفعل.

  • ضع في اعتبارك التدرجات الهرمية التنظيمية عند إنشاء التعريفات والتعيينات. نوصي بإنشاء تعريفات على مستويات أعلى مثل مجموعة الإدارة أو مستوى الاشتراك. ثم قم بإنشاء التعيين في المستوى التابع التالي. إذا أنشأت تعريفاً في مجموعة الإدارة، يمكن تحديد نطاق التعيين وصولاً إلى اشتراك أو مجموعة موارد ضمن مجموعة الإدارة تلك.

  • نوصي بإنشاء وتعيين تعريفات المبادرة حتى إذا بدأت بتعريف نهج واحد. تمكنك هذه الطريقة من إضافة تعريفات النهج إلى المبادرة لاحقا دون زيادة عدد المهام المراد إدارتها.

    • على سبيل المثال، تخيل إنشاء نهج تعريف النهجDefA وإضافته إلى تعريف المبادرة initiativeDefC. إذا قمت لاحقا بإنشاء نهج تعريف نهج آخر ل policyDefB مع أهداف مشابهة ل policyDefA، يمكنك إضافته ضمن initiativeDefC وتعقبها معا.

    • بعد إنشاء تعيين مبادرة، تصبح تعريفات النهج المضافة إلى المبادرة أيضا جزءا من تعيينات تلك المبادرة.

    • عند تقييم تعيين المبادرة، تقيَّم كل النُهج داخل المبادرة أيضاً. وإذا كنت بحاجة إلى تقييم نهج بشكل فردي، فمن الأفضل عدم تضمينه في مبادرة.

  • إدارة موارد سياسة Azure كرمز مع مراجعات يدوية حول التغييرات في تعريفات السياسة والمبادرات والمهام. لمعرفة المزيد حول الأنماط والأدوات المقترحة، راجع تصميم نهج Azure كمهام سير عمل للتعليمات البرمجية.

عناصر Azure Policy

تتضمن الكائنات تعريفات النهج وتعريفات المبادرات والتعيينات.

تعريف النهج

تبدأ رحلة إنشاء نهج وتنفيذه في نهج Azure عند إنشاء تعريف نهج. يحتوي كل تعريف سياسة على شروط يتم تنفيذها. وله تأثير محدد يحدث في حال استيفاء الشروط.

نقدم العديد من النُهج المضمَّنة المتوفرة بشكل افتراضي في Azure Policy. على سبيل المثال:

  • وحدات حفظ المخزون لحساب التخزين المسموح بها (رفض): تحدد ما إذا كان حساب التخزين الذي يتم نشره ضمن مجموعة من أحجام وحدات حفظ المخزون. تأثيرها هو رفض جميع حسابات التخزين التي لا تلتزم بمجموعة أحجام وحدات حفظ المخزون المحددة.
  • نوع المورد المسموح به (رفض): يعرف أنواع الموارد التي يمكنك نشرها. تأثيره هو رفض كل الموارد التي ليست جزءاً من هذه القائمة المعرفة.
  • المواقع المسموح بها (رفض): تقيد المواقع المتوفرة للموارد الجديدة. يُستخدم تأثيرها لفرض متطلبات التوافق الجغرافي.
  • وحدات حفظ المخزون للأجهزة الظاهرية المسموح بها (رفض): تحدد مجموعة من وحدات حفظ المخزون للأجهزة الظاهرية التي يمكنك نشرها.
  • إضافة علامة إلى الموارد (تعديل): يطبق علامة مطلوبة وقيمتها التلقائية إذا لم يحددها طلب النشر.
  • أنواع الموارد غير المسموح بها (رفض): تمنع نشر قائمة أنواع الموارد.

لتنفيذ تعريفات النهج هذه (كل من التعريفات المضمنة والمخصصة)، تحتاج إلى تعيينها. يمكنك تعيين أي من هذه النُهج من خلال مدخل Azure أو PowerShell أو Azure CLI.

يحدث تقييم النهج مع العديد من الإجراءات المختلفة، مثل تعيين النهج أو تحديثات النهج. للحصول على قائمة كاملة، راجع مشغلات تقييم النهج.

لمعرفة المزيد حول هياكل تعريفات النهج، راجع أساسيات بنية تعريف نهج Azure.

تساعد معلمات النهج على تبسيط إدارة النهج من خلال تقليل عدد تعريفات النهج التي يجب إنشاؤها. يمكنك تعريف المعلمات عند إنشاء تعريف النهج لجعله أكثر عمومية. ثم يمكنك إعادة استخدام تعريف النهج هذا لسيناريوهات مختلفة. ويمكنك القيام بذلك من خلال تمرير قيم مختلفة عند تعيين تعريف النهج. على سبيل المثال، تحديد مجموعة مواقع واحدة للاشتراك.

يتم تعريف المعلمات عند إنشاء تعريف نهج. يتضمن تعريف المعلمة اسم المعلمة والقيم الاختيارية. على سبيل المثال، يمكنك تعريف معلمة لنهج بعنوان موقع. ثم يمكنك إعطاؤها قيماً مختلفة مثل EastUS أو WestUS عند تعيين نهج.

لمزيد من المعلومات حول معلمات النهج، راجع معلمات بنية تعريف نهج Azure.

تعريف المبادرة

تعريف المبادرة هو مجموعة من تعريفات السياسات المصممة خصوصاً لتحقيق هدف شامل فريد. تبسط تعاريف المبادرة إدارة تعاريف النُهج وتعيينها. فهي تبسط من خلال تجميع مجموعة من السياسات كعنصر واحد. على سبيل المثال، يمكنك إنشاء مبادرة بعنوان تمكين المراقبة في Microsoft Defender for Cloud، بهدف مراقبة جميع توصيات الأمان المتاحة في Microsoft Defender الخاص بك لمثيل Cloud.

إشعار

يستخدم SDK، مثل Azure CLI وAzure PowerShell، خصائص ومعلمات تسمى PolicySet للإشارة إلى المبادرات.

في إطار هذه المبادرة، ستكون لديك تعريفات للنُهج مثل:

  • مراقبة قاعدة بيانات SQL غير المشفرة في Microsoft Defender for Cloud - لمراقبة قواعد بيانات وخوادم SQL غير المشفرة.
  • راقب ثغرات نظام التشغيل في Microsoft Defender for Cloud - لمراقبة الخوادم التي لا تلبي خط الأساس الذي تم تكوينه.
  • مراقبة حماية نقطة النهاية المفقودة في Microsoft Defender for Cloud - لمراقبة الخوادم دون عامل الملفات لـ Data Protection Server لنقطة نهاية مثبتة.

تساعد معلمات المبادرة، على غرار معلمات النهج، على تبسيط إدارة المبادرات من خلال الحد من التكرار. فمعلمات المبادرة هي معلمات تستخدمها تعريفات النهج داخل المبادرة.

على سبيل المثال، في السيناريو التالي، لديك تعريف مبادرة InitiativeC، مع تعريفات النهج policyAوpolicyB حيث يتوقع كل منهما نوعا مختلفا من المعلمات:

النهج اسم المعلمة نوع المعلمة إشعار
سياسات(أ) allowedLocations صفيف تتوقع هذه المعلمة قائمة بالسلاسل لقيمة حيث تم تعريف نوع المعلمة كمصفوفة.
السياسة ب allowedSingleLocation سلسلة تتوقع هذه المعلمة كلمة واحدة لقيمة حيث تم تعريف نوع المعلمة كسلسلة.

عندما تقوم بتعريف معلمات المبادرة ل initiativeC، يكون لديك ثلاثة خيارات:

  • استخدم معلمات تعريفات السياسة ضمن هذه المبادرة: في هذا المثال، allowedLocations وتصبح allowedSingleLocation معلمات مبادرة للمبادرةC.
  • تقديم قيم لمعلمات تعريفات السياسة ضمن تعريف المبادرة هذا. في هذا المثال، يمكنك توفير قائمة بالمواقع إلى المعلمة allowedLocationsوالpolicyBallowedSingleLocation. يمكنك أيضا توفير قيم عند تعيين هذه المبادرة.
  • تقديم قائمة بخيارات القيمة التي يمكن استخدامها عند تعيين هذه المبادرة. عند تعيين هذه المبادرة، لا يمكن أن تحتوي المعلمات الموروثة من تعريفات النهج داخل المبادرة إلا على قيم من هذه القائمة المقدمة.

عند إنشاء خيارات قيمة في تعريف مبادرة، يتعذر عليك إدخال قيمة مختلفة أثناء تعيين المبادرة لأنها ليست جزءا من القائمة.

لمعرفة المزيد حول هياكل تعريفات المبادرة، راجع بنية تعريف مبادرة نهج Azure.

تعيينات

التعيين هو تعريف نهج أو مبادرة تم تعيينها لنطاق معين. قد يتراوح هذا النطاق من مجموعة إدارة إلى مورد فردي. يشير نطاق المصطلح إلى كل الموارد أو مجموعات الموارد أو الاشتراكات أو مجموعات الإدارة التي تم تعيين التعريف إليها. ترث جميع الموارد التابعة التعيينات. يعني هذا التصميم أن التعريف المطبق على مجموعة الموارد يُطبق أيضاً على الموارد في مجموعة الموارد تلك. ومع ذلك، يمكنك استبعاد نطاق فرعي من التعيين.

على سبيل المثال، في نطاق الاشتراك، يمكنك تعيين تعريف يمنع إنشاء موارد الشبكات. ويمكنك استبعاد مجموعة موارد في هذا الاشتراك المخصص للبنية الأساسية للشبكات. ثم منح حق الوصول إلى مجموعة موارد الشبكات هذه للمستخدمين الذين تثق بهم في إنشاء موارد الشبكات.

في مثال آخر، قد ترغب في تعيين تعريف قائمة السماح لنوع المورد على مستوى مجموعة الإدارة. ثم تعيّن نهجاً أكثر تساهلاً (السماح بأنواع موارد أكثر) على مجموعة إدارة تابعة أو حتى على الاشتراكات مباشرةً. لكن، لن ينجح هذا المثال لأن Azure Policy نظام رفض صريح. بدلاً من ذلك، يجب استبعاد مجموعة الإدارة التابعة أو الاشتراك من التعيين على مستوى مجموعة الإدارة. ثم عيّن تعريفاً أكثر تساهلاً على مجموعة إدارة تابعة أو مستوى الاشتراك. إذا أدى أي تعيين إلى رفض أحد الموارد، فإن الطريقة الوحيدة للسماح للمورد هو تعديل رفض التعيين.

تستخدم مهام السياسة دائمًا أحدث حالة من التعريف أو المبادرة المعينة لها عند تقييم الموارد. إذا تم تغيير تعريف نهج معين، فستستخدم جميع التعيينات الموجودة لهذا التعريف المنطق المحدث عند التقييم.

للحصول على مزيد من المعلومات حول إعداد التعيينات من خلال المدخل، راجع إنشاء تعيين نهج لتحديد الموارد غير المتوافقة في بيئة Azure. كما أن خطوات PowerShell وAzure CLI متاحة. للحصول على معلومات حول بنية التعيين، راجع بنية تعيين نهج Azure.

الحد الأقصى لعدد عناصر Azure Policy

يوجد حد أقصى لعدد كل نوع من أنواع الكائنات في خدمة Azure Policy. وبالنسبة للتعريفات، فإن إدخال النطاق يُقصد به مجموعة الإدارة أو الاشتراك. بالنسبة للتعيينات والإعفاءات، يعني إدخال النطاق مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد الفردي.

الموقع ماذا العدد الأقصى
النطاق تعريفات النهج 500
النطاق تعريفات المبادرة 200
المستأجر تعريفات المبادرة 2,500
النطاق تعيينات السياسة أو المبادرة 200
النطاق الإعفاءات 1000
تعريف النهج المعلمات 20
تعريف المبادرة السياسات 1000
تعريف المبادرة المعلمات 400
تعيينات السياسة أو المبادرة الاستثناءات (غير النطاقات) 400
قاعدة السياسة الشروط المتداخلة 512
مهمة الإصلاح الموارد 50,000
تعريف النهج أو المبادرة أو هيئة طلب التخصيص بايت 1,048,576

قواعد النهج لها حدود أكثر لعدد الشروط وتعقيدها. لمزيد من المعلومات، راجع حدود قاعدة النهج.

الخطوات التالية

الآن بعد أن أصبح لديك نظرة عامة على نهج Azure وبعض المفاهيم الأساسية، استخدم الارتباطات التالية لمعرفة المزيد حول الخدمة.

  • Last updated on