البرنامج التعليمي: إنشاء النُهج وإدارتها لفرض التوافق
يعد فهم كيفية إنشاء النُهج وإدارتها في Azure أمراً مهماً للحفاظ على التوافق مع معايير الشركة واتفاقيات مستوى الخدمة. في هذا البرنامج التعليمي، تتعلم استخدام Azure Policy للقيام ببعض المهام الشائعة المتعلقة بإنشاء النُهج وتعيينها وإدارتها داخل مؤسستك، مثل:
- تعيين نهج لفرض شروط للموارد التي تنشئها في المستقبل
- إنشاء وتعيين تعريف مبادرة لتتبع التوافق لموارد متعددة
- حل مورد غير متوافق أو مرفوض
- تنفيذ نهج جديدة عبر المؤسسة
إذا كنت ترغب في تعيين نهج لتحديد حالة التوافق الحالية للموارد الحالية، فستتناول مقالات التشغيل السريع كيفية القيام بذلك.
المتطلبات الأساسية
إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.
تعيين نهج
الخطوة الأولى في فرض التوافق مع Azure Policy هو تعيين تعريف النهج. يحدد تعريف النهج شرط فرض النهج والتأثير الذي يجب اتخاذه. في هذا المثال، قم بتعيين تعريف النهج المضمنة المسمى وراثة علامة من مجموعة الموارد إذا كانت مفقودة لإضافة العلامة المحددة مع قيمتها من مجموعة الموارد الأصل إلى موارد جديدة أو محدثة مفقودة العلامة.
انتقل إلى مدخل Azure لتعيين النهج. ابحث عن "Policy" وحددها.
حدد "Assignments" على الجانب الأيسر من صفحة Policy في Azure. التعيين هو نهج عُيِّن ليحدث ضمن نطاق معين.
حدد "Assign Policy" من أعلى صفحة "Policy - Assignments" .
في الصفحة "Assign Policy" وعلامة التبويب "Basics" ، حدد "Scope" بتحديد علامة القطع وتحديد إما "management group" وإما "subscription". واختيارياً، حدد مجموعة موارد. يحدد النطاق الموارد أو مجموعة الموارد التي سيُفرض عليهما تعيين النهج. ثم حدد "Select" في أسفل صفحة "Scope" .
يستخدم هذا المثال اشتراك Contoso. ويمكن أن يختلف اشتراكك.
يمكن استثناء الموارد بناء على النطاق. تبدأ "Exclusions" عند مستوى أقل من مستوى "Scope" . كما أن "Exclusions" اختيارية، لذا اتركها فارغة في الوقت الحالي.
حدد علامة القطع "Policy definition" لفتح قائمة التعريفات المتاحة. يمكنك تصفية تعريف النهج "Type" إلى "Built-in" لعرض الكل وقراءة أوصافهم.
حدد "Inherit a tag from the resource group if missing" . إذا لم تتمكن من العثور عليه على الفور، اكتب "inherit a tag" في مربع البحث ثم اضغط "ENTER" أو حدد من مربع البحث. حدد "Select" أسفل صفحة "Available Definitions" بمجرد العثور على تعريف النهج وتحديده.
يتم ملء "Assignment name" تلقائياً باسم النهج الذي حددته، ولكن يمكنك تغييره. على سبيل المثال، اترك "Inherit a tag from the resource group if missing" . يمكنك أيضاً إضافة وصف اختياري. ويوفر الوصف تفاصيل حول مهمة النهج هذا.
اترك "Policy enforcement" على "Enabled" . يسمح الإعداد "Disabled" باختبار نتيجة النهج دون تشغيل التأثير. لمزيد من المعلومات، اطلع على وضع الإنفاذ.
ويمكن ملء "Assigned by" تلقائياً استناداً إلى من قام بتسجيل الدخول. وهذا الحقل اختياري، لذلك يمكن إدخال قيم مخصصة.
حدد علامة التبويب "Parameters" في أعلى المعالج.
بالنسبة إلى "Tag Name" ، أدخل Environment.
حدد علامة التبويب "Remediation" في أعلى المعالج.
اترك "Create a remediation task" غير محددة. يسمح لك هذا المربع بإنشاء مهمة لتغيير الموارد الحالية بالإضافة إلى موارد جديدة أو محدثة. لمزيد من المعلومات، راجع إصلاح الموارد.
يتم تحديد "Create a Managed Identity" تلقائياً نظراً لاستخدام تعريف النهج هذا التأثير "modify". يتم تعيين "Permissions" إلى "Contributor" تلقائياً استناداً إلى تعريف النهج. ولمزيد من التفاصيل، راجع الهويات المُدارةوكيف يسير التحكم بوصول المعالجة.
حدد علامة التبويب "Non-compliance messages" في أعلى المعالج.
تعيين "Non-compliance message" إلى "This resource doesn't have the required tag" . تُعرض هذه الرسالة المخصصة عند رفض مورد أو للموارد غير المتوافقة أثناء التقييم الدوري.
حدد علامة التبويب "Review + create" في أعلى المعالج.
راجع التحديدات، ثم حدد "Create" أسفل الصفحة.
تنفيذ نهج مخصص جديد
الآن بعد تعيين تعريف نهج مضمن، يمكنك عمل المزيد باستخدام Azure Policy. بعد ذلك، قم بإنشاء نهج مخصص جديد لتوفير التكاليف من خلال التحقق من أن الأجهزة الظاهرية التي تم إنشاؤها في البيئة الخاصة بك لا يمكن أن تكون في السلسلة G. بهذه الطريقة، سيتم رفض طلب كل مستخدم في المؤسسة يحاول إنشاء جهاز ظاهري في السلسلة G.
حدد "Definitions" ضمن "Authoring" في الجانب الأيسر من صفحة Azure Policy.
حدد "+ Policy definition" في أعلى الصفحة. يفتح هذا الزر على صفحة "Policy definition" .
أدخل المعلومات الآتية:
مجموعة الإدارة أو الاشتراك حيث يتم حفظ تعريف النهج. حدد باستخدام علامة القطع في "Definition location" .
ملاحظة
إذا كنت تخطط لتطبيق تعريف النهج هذا على اشتراكات متعددة، يجب أن يكون الموقع مجموعة إدارة تحتوي على الاشتراكات التي تعين النهج لها. وينطبق الشيء نفسه على التعريف مبادرة.
اسم تعريف النهج - Require VM SKUs not in the G series
وصف ما يهدف تعريف النهج إلى القيام به - يفرض تعريف النهج هذا أن تكون جميع الأجهزة الظاهرية التي تم إنشاؤها في هذا النطاق لها وحدات SKU غير سلسلة G لتقليل التكلفة.
اختر من بين الخيارات الموجودة (مثل Compute)، أو أنشئ فئة جديدة لتعريف هذا النهج.
نسخ التعليمة البرمجية JSON التالية ثم قم بتحديثها حسب احتياجاتك باستخدام:
- معلمات النهج.
- قواعد/شروط النهج، في هذه الحالة - حجم SKU للأجهزة الظاهرية يساوي السلسلة G
- تأثير النهج، في هذه الحالة - "Deny" .
إليك ما يجب أن تبدو عليه JSON. الصق تعليمتك البرمجية المنقحة في مدخل Azure.
{ "policyRule": { "if": { "allOf": [{ "field": "type", "equals": "Microsoft.Compute/virtualMachines" }, { "field": "Microsoft.Compute/virtualMachines/sku.name", "like": "Standard_G*" } ] }, "then": { "effect": "deny" } } }يجب أن تكون خاصية "field" في قاعدة النهج قيمة معتمدة. يُمكنك العثور على قائمة كاملة بالقيم في حقول بنية تعريف النهج. قد يكون
"Microsoft.Compute/VirtualMachines/Size"مثالاً على الاسم المستعار.لعرض المزيد من نماذج Azure Policy، راجع نماذج Azure Policy.
حدد حفظ.
إنشاء تعريف نهج باستخدام واجهة برمجة تطبيقات REST
يمكنك إنشاء نهج مع واجهة برمجة تطبيقات REST لتعريفات Azure Policy. تمكنك واجهة برمجة تطبيقات REST من إنشاء تعريفات النهج وحذفها، والحصول على معلومات حول التعريفات الحالية. لإنشاء تعريف نهج، استخدم المثال التالي:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}
تضمين نص طلب مشابه للمثال التالي:
{
"properties": {
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
إنشاء تعريف نهج باستخدام PowerShell
قبل المتابعة مع مثال PowerShell، تأكد من تثبيت أحدث إصدار من الوحدة النمطية Azure PowerShell Az.
يمكنك إنشاء تعريف نهج باستخدام New-AzPolicyDefinition cmdlet.
لإنشاء تعريف نهج من ملف، مرر المسار إلى الملف. للحصول على ملف خارجي، استخدم المثال التالي:
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-DisplayName 'Deny cool access tiering for storage' `
-Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'
لاستخدام ملف محلي، استخدم المثال التالي:
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-Description 'Deny cool access tiering for storage' `
-Policy 'c:\policies\coolAccessTier.json'
لإنشاء تعريف نهج مع قاعدة مضمنة، استخدم المثال التالي:
$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
يتم تخزين الإخراج في الكائن $definition، والذي يتم استخدامه أثناء تعيين النهج. ينشئ المثال التالي تعريف نهج يتضمن معلمات:
$policy = '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field": "location",
"in": "[parameters(''allowedLocations'')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}'
$parameters = '{
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying storage accounts.",
"strongType": "location",
"displayName": "Allowed locations"
}
}
}'
$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters
عرض تعريف نهج باستخدام PowerShell
للاطلاع على جميع تعريفات النهج في اشتراكك، استخدم الأمر التالي:
Get-AzPolicyDefinition
فهو يرجع جميع تعريفات النهج المتاحة، بما في ذلك النُهُج المضمنة. يتم إرجاع كل نهج بالتنسيق التالي:
Name : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType : Microsoft.Authorization/policyDefinitions
Properties : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
restrict the locations your organization can specify when deploying resources. Use to enforce
your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
إنشاء تعريف نهج باستخدام Azure CLI
يمكنك إنشاء تعريف نهج باستخدام Azure CLI مع الأمر az policy definition. لإنشاء تعريف نهج مع قاعدة مضمنة، استخدم المثال التالي:
az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
عرض تعريفات النهج باستخدام Azure CLI
للاطلاع على جميع تعريفات النهج في اشتراكك، استخدم الأمر التالي:
az policy definition list
فهو يرجع جميع تعريفات النهج المتاحة، بما في ذلك النُهُج المضمنة. يتم إرجاع كل نهج بالتنسيق التالي:
{
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
"displayName": "Allowed locations",
"id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
"name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('listOfAllowedLocations')]"
}
},
"then": {
"effect": "Deny"
}
},
"policyType": "BuiltIn"
}
إنشاء التعريف مبادرة وتعيينه
مع تعريف مبادرة، يمكنك تجميع العديد من تعريفات النهج لتحقيق هدف واحد شامل. تقوم المبادرة بتقييم الموارد ضمن نطاق التعيين للتوافق للسياسات المضمنة. لمزيد من المعلومات حول تعريفات المبادرة، راجع نظرة عامة على Azure Policy.
إنشاء التعريف مبادرة
حدد "Definitions" ضمن "Authoring" في الجانب الأيسر من صفحة Azure Policy.
حدد "+ Initiative Definition" في أعلى الصفحة لفتح معالج "Initiative definition" .
استخدم علامة القطع "Initiative location" لتحديد مجموعة إدارة أو اشتراك لتخزين التعريف. إذا تم تحديد نطاق الصفحة السابقة إلى مجموعة إدارة واحدة أو اشتراك واحد، يتم ملء "Initiative location" تلقائياً.
أدخل اسم المبادرة ووصفها.
يتحقق هذا المثال من توافق الموارد مع تعريفات النهج حول الحصول على الأمان. قم بتسمية المبادرة Get Secure وتعيين الوصف على النحو التالي: تم إنشاء هذه المبادرة للتعامل مع جميع تعريفات السياسة المرتبطة بتأمين الموارد.
بالنسبة إلى "Category" ، اختر من الخيارات الموجودة أو أنشئ فئة جديدة.
تعيين "Version" للمبادرة، مثل 1.0.
ملاحظة
قيمة الإصدار بيانات تعريف تماماً ولا تُستخدم للتحديثات أو أي عملية من قبل خدمة Azure Policy.
حدد "Next" في أسفل الصفحة أو علامة التبويب "Policies" في أعلى المعالج.
حدد الزر "Add policy definition(s)" وتصفح من خلال القائمة. حدد تعريف (تعريفات) النهج الذي تريد إضافته إلى هذه المبادرة. لمبادرة Get Secure، أضف تعريفات النهج المضمنة التالية عن طريق تحديد خانة الاختيار بجوار تعريف النهج:
- المواقع المسموح بها
- يتعين تثبيت حماية نقطة النهاية على الأجهزة
- يجب حماية الأجهزة الظاهرية التي ليست على واجهة الإنترنت بمجموعات أمان الشبكة
- يجب تمكين Azure Backup للأجهزة الظاهرية
- يجب تطبيق تشفير القرص على الأجهزة الظاهرية
- إضافة علامة على الموارد أو استبدالها (إضافة تعريف النهج هذا مرتين)
بعد تحديد كل تعريف نهج من القائمة، حدد "Add" أسفل القائمة. نظراً لإضافته مرتين، فإن تعريفات النهج إضافة علامة أو استبدالها على الموارد يحصل كل منها على معرف مرجعي مختلف.
.
ملاحظة
يمكن إضافة تعريفات النهج المحددة إلى المجموعات عن طريق تحديد تعريف واحد أو أكثر من التعريفات المضافة وتحديد "Add selected policies to a group" . يجب أن تكون المجموعة موجودة أولاً ويمكن إنشاؤها في علامة التبويب "Groups" للمعالج.
حدد "Next" في أسفل الصفحة أو علامة التبويب "Groups" في أعلى المعالج. يمكن إضافة مجموعات جديدة من علامة التبويب هذه. لا نضيف أي مجموعات لهذا البرنامج التعليمي.
حدد "Next" في أسفل الصفحة أو علامة التبويب "Initiative parameters" في أعلى المعالج. إذا أردنا وجود معلمة في المبادرة للتمرير إلى واحد أو أكثر من تعريفات النهج المُضمنة، يتم تحديد المعلمة هنا ثم استخدامها في علامة التبويب "Policy parameters" . في هذا البرنامج التعليمي، لا نضيف أي معلمات مبادرة.
ملاحظة
بمجرد حفظها في تعريف المبادرة، لا يمكن حذف معلمات المبادرة من المبادرة. إذا لم تعد هناك حاجة إلى معلمة مبادرة، قم بحذفها من الاستخدام بواسطة أي معلمات تعريف نهج.
حدد "Next" في أسفل الصفحة أو علامة التبويب "Policy parameters" في أعلى المعالج.
تُعرض تعريفات النهج المضافة إلى المبادرة التي تحتوي على معلمات في شبكة. يمكن أن يكون نوع القيمة "Default value" أو "Set value" أو "Use Initiative Parameter". إذا تم تحديد "Set value"، يتم إدخال القيمة ذات الصلة ضمن Value(s) . إذا كانت المعلمة على تعريف النهج تحتوي على قائمة بالقيم المسموح بها، فإن مربع الإدخال هو محدد قائمة منسدلة. إذا تم تحديد "Use Initiative Parameter"، فسيتم توفير قائمة منسدلة محددة بأسماء معلمات المبادرة التي تم إنشاؤها في علامة التبويب "Initiative parameters" .
ملاحظة
في حالة بعض المعلمات
strongType، لا يمكن تحديد قائمة القيم تلقائياً. في هذه الحالات، تظهر علامة القطع إلى يمين صف المعلمة. يؤدي تحديده إلى فتح صفحة "Parameter scope (<اسم المعلمة>)". في هذه الصفحة، حدد الاشتراك الذي ستستخدمه لتوفير خيارات القيمة. ولا يستخدم نطاق المعلمة هذا إلا أثناء إنشاء تعريف المبادرة ولا يؤثر على تقييم النُهج أو نطاق المبادرة عند تعيينها.قم بتعيين 'Allowed locations' value type إلى "Set value" وحدد "East US 2" من القائمة المنسدلة. بالنسبة للمثيلين الخاصين بتعريفات النُهج إضافة علامة أو استبدالها على الموارد، قم بتعيين المعلمات "Tag Name" إلى "Env" و"CostCenter" والمعلمات Tag Value إلى "Test" و"Lab" كما هو موضح أدناه. اترك الآخرين على "Default value". باستعمال نفس التعريف مرتين في المبادرة ولكن مع معلمات مختلفة، يضيف هذا التكوين أو يستبدل علامة "Env" بالقيمة "Test" وعلامة "CostCenter" بقيمة "Lab" على الموارد الموجودة في نطاق المهمة.
حدد "Review + create" في أسفل الصفحة أو أعلى المعالج.
راجع الإعدادات وحدد Create.
إنشاء تعريف مبادرة نهج باستخدام Azure CLI
يمكنك إنشاء تعريف مبادرة نهج باستخدام Azure CLI مع الأمر az policy set-definition. لإنشاء تعريف مبادرة نهج مع تعريف نهج موجود، استخدم المثال التالي:
az policy set-definition create -n readOnlyStorage --definitions '[
{
"policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
"parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
}
]' \
--params '{ "requiredSku": { "type": "String" } }'
إنشاء تعريف مبادرة نهج باستخدام Azure PowerShell
يمكنك إنشاء تعريف مبادرة نهج باستخدام Azure PowerShell مع New-AzPolicySetDefinition cmdlet. لإنشاء تعريف مبادرة نهج مع تعريف نهج موجود، استخدم ملف تعريف مبادرة النهج التالي كـ VMPolicySet.json:
[
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
"parameters": {
"tagName": {
"value": "Business Unit"
},
"tagValue": {
"value": "Finance"
}
}
},
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
}
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json
تعيين تعريف المبادرة
حدد "Definitions" ضمن "Authoring" في الجانب الأيسر من صفحة Azure Policy.
حدد موقع تعريف مبادرة Get Secure الذي قمت بإنشائه مسبقاً وحدده. حدد "Assign" في أعلى الصفحة لفتح الصفحة Get Secure: Assign initiative.
يمكنك أيضاً التحديد مع الاستمرار (أو النقر بزر الماوس الأيمن) على الصف المحدد أو تحديد علامة القطع في نهاية الصف لقائمة سياقية. ثم حدد "Assign" .
املأ صفحة Get Secure: Assign Initiative عن طريق إدخال معلومات المثال التالي. يمكنك استخدام معلوماتك.
- النطاق: تصبح مجموعة الإدارة أو الاشتراك حيث حفظت المبادرة هي الافتراضي. يمكنك تغيير النطاق لتعيين المبادرة إلى اشتراك أو مجموعة موارد ضمن موقع الحفظ.
- الاستثناءات: تكوين أي موارد ضمن النطاق لمنع تطبيق تعيين المبادرة عليها.
- تعريف المبادرة واسم التعيين: Get Secure (تم ملؤها مسبقاً كاسم المبادرة التي يتم تعيينها).
- الوصف: تم تصميم تعيين المبادرة هذا لفرض هذه المجموعة من تعريفات النهج.
- فرض النهج: اتركه على الإعداد الافتراضي "Enabled" .
- تم التعيين بواسطة: يتم ملؤه تلقائياً استناداً إلى من قام بتسجيل الدخول. وهذا الحقل اختياري، لذلك يمكن إدخال قيم مخصصة.
حدد علامة التبويب "Parameters" في أعلى المعالج. إذا قمت بتكوين معلمة مبادرة في الخطوات السابقة، قم بتعيين قيمة هنا.
حدد علامة التبويب "Remediation" في أعلى المعالج. اترك "Create a Managed Identity" غير محددة. يجب تحديد هذا المربع عندما يشتمل النهج أو المبادرة المعينة على نهج يتضمن التأثير deployIfNotExists أو modify. ونظراً إلى أن النهج المُستخدم لهذا البرنامج التعليمي لا يتضمن ذلك، فاتركه فارغاً. ولمزيد من التفاصيل، راجع الهويات المُدارةوكيف يسير التحكم بوصول المعالجة.
حدد علامة التبويب "Review + create" في أعلى المعالج.
راجع التحديدات، ثم حدد "Create" أسفل الصفحة.
التحقق من التوافق الأولي
حدد "Compliance" في الجانب الأيسر من صفحة Azure Policy.
حدد موقع مبادرة Get Secure. من المحتمل أنها لا تزال في حالة التوافق لـ Not started. حدد المبادرة للحصول على التفاصيل الكاملة للتعيين.
بمجرد الانتهاء من تعيين المبادرة، يتم تحديث صفحة التوافق بحالة التوافق"Compliant" .
يؤدي تحديد أي نهج في صفحة initiative compliance إلى فتح صفحة تفاصيل التوافق لذلك النهج. توفر هذه الصفحة تفاصيل على مستوى المورد للتوافق.
إزالة مورد غير متوافق أو مرفوض من النطاق مع الاستبعاد
بعد تعيين مبادرة نهج لطلب موقع معين، يتم رفض أي مورد يتم إنشاؤه في موقع مختلف. في هذا القسم، يمكنك متابعة حل طلب مرفوض لإنشاء مورد عن طريق إنشاء استثناء على مجموعة موارد مفردة. ويمنع الاستبعاد إنفاذ النهج (أو المبادرة) المتعلقة بمجموعة الموارد تلك. في المثال التالي، يُسمح بأي موقع في مجموعة الموارد المستبعدة. يمكن أن ينطبق الاستثناء على اشتراك أو مجموعة موارد أو مورد فردي.
ملاحظة
يمكن أيضاً استخدام الإعفاء من نهج لتخطي تقييم مورد. للحصول على مزيد من المعلومات، راجع النطاق في Azure Policy.
يمكن عرض عمليات النشر التي تم منعها بواسطة نهج معين أو مبادرة معينة على مجموعة الموارد المستهدفة من قبل النشر: حدد "Deployments" في الجانب الأيسر من الصفحة، ثم حدد اسم النشر للنشر الفاشل. المورد الذي تم رفضه مدرج بحالة "Forbidden" . لتحديد النهج الذي أو المبادرة والتعيين الذي رفضة المورد، حددFailed. Click here for details -> في صفحة Deployment Overview. يتم فتح نافذة على الجانب الأيمن من الصفحة مع معلومات الخطأ. ضمن "Error Details" تظهر GUIDs لكائنات النهج ذات الصلة.
في صفحة Azure Policy: حدد "Compliance" في الجانب الأيسر من الصفحة وحدد مبادرة النهج Get Secure. في هذه الصفحة، هناك زيادة في عدد الرفض للموارد المحظورة. ضمن علامة التبويب Events تتوفر تفاصيل حول من حاول إنشاء أو نشر المورد الذي تم رفضه بواسطة تعريف النهج.
في هذا المثال، كان Trent Baker، أحد اختصاصيي المحاكاة الافتراضية في شركة Contoso، يؤدي العمل المطلوب. يجب أن نمنح Trent مساحة للاستثناء. إنشاء مجموعة الموارد الجديدة، LocationsExcluded، ثم منحها استثناء لتعيين هذا النهج.
تحديث التعيين بالاستبعاد
حدد "Assignments" ضمن "Authoring" في الجانب الأيسر من صفحة Azure Policy.
استعرض جميع تعيينات النهج وافتح تعيين نهج Get Secure.
تعيين Exclusion عن طريق تحديد علامة القطع وتحديد مجموعة الموارد المراد استبعادها، LocationsExcluded في هذا المثال. حدد "Add to Selected Scope" ثم حدد "Save" .
ملاحظة
ويمكن أيضاً منح الاستبعاد لموارد محددة داخل مجموعة موارد داخل نطاق التعيين، وذلك حسب تعريف النهج وأثره. نظراً لاستخدام تأثير "Deny" في هذا البرنامج التعليمي، فإنه لن يكون من المنطقي تعيين الاستبعاد على مورد معين موجود بالفعل.
حدد "Review + save" ثم حدد "Save" .
في هذا القسم، قمت بحل الطلب المرفوض عن طريق إنشاء استثناء على مجموعة موارد واحدة.
تنظيف الموارد
إذا انتهيت من العمل باستخدام موارد من هذا البرنامج التعليمي، فاستخدم الخطوات التالية لحذف أي من تعيينات النهج أو التعريفات التي تم إنشاؤها أعلاه:
حدد "Definitions" (أو "Assignments" إذا كنت تحاول حذف تعيين) ضمن "Authoring" في الجانب الأيسر من صفحة Azure Policy.
ابحث عن المبادرة الجديدة أو معرف النهج (أو التعيين) الذي تريد إزالته.
انقر بزر الماوس الأيمن فوق الصف أو حدد علامة القطع في نهاية التعريف (أو التعيين)، ثم حدد "Delete definition" (أو "Delete assignment").
مراجعة
في هذا البرنامج التعليمي، أنجزت المهام التالية بنجاح:
- تعيين نهج لفرض شروط للموارد التي تنشئها في المستقبل
- إنشاء وتعيين تعريف مبادرة لتتبع التوافق لموارد متعددة
- حل مورد غير متوافق أو مرفوض
- تنفيذ نهج جديدة عبر المؤسسة
الخطوات التالية
لمعرفة المزيد حول بنى تعريفات النهج، اطلع على هذه المقالة: