Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

Principy vytváření a správy zásad v Azure jsou důležité pro zajištění souladu s firemními standardy a smlouvami o úrovni služeb. V tomto kurzu se dozvíte, jak pomocí služby Azure Policy provádět některé běžné úlohy související s vytvářením, přiřazováním a správou zásad v rámci celé organizace, jako například:

  • Přiřazení zásady vynucující podmínku u prostředků, které vytvoříte v budoucnu
  • Vytvoření a přiřazení definice iniciativy pro sledování dodržování předpisů u několika prostředků
  • Řešení problému s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem
  • Implementace nové zásady v rámci celé organizace

Pokud chcete přiřadit zásadu pro identifikaci aktuálního stavu dodržování předpisů u vašich existujících prostředků, postup najdete v článcích Rychlý start.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přiřazení zásady

Prvním krokem při vynucování dodržování předpisů pomocí služby Azure Policy je přiřazení definice zásady. Definice zásady definuje, za jakých podmínek se zásada vynucuje a jaký účinek se má projevit. V tomto příkladu přiřaďte předdefinovanou definici zásad s názvem Zdědit značku ze skupiny prostředků, pokud chybí , aby se zadaná značka přidala s hodnotou z nadřazené skupiny prostředků do nových nebo aktualizovaných prostředků, které značku chybí.

  1. Přejděte na Azure Portal a přiřaďte zásady. Vyhledejte a vyberte Zásady.

    Snímek obrazovky vyhledávání zásad na panelu hledání

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky s výběrem uzlu Přiřazení na stránce Přehled zásad

  3. V horní části stránky Zásady – Přiřazení vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na stránce Přiřazení

  4. Na stránce Přiřadit zásadu a Na kartě Základy vyberte obor tak, že vyberete tři tečky a vyberete skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak vyberte Vybrat v dolní části stránky Obor .

    V tomto příkladu se používá předplatné Contoso . Vaše předplatné se bude lišit.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Můžete nastavit filtr pro Typ definic zásad na Předdefinované a zobrazit všechny definice zásad a přečíst si jejich popisy.

  7. Pokud chybí, vyberte zdědit značku ze skupiny prostředků. Pokud ho nemůžete najít hned, zadejte do vyhledávacího pole značku a stiskněte klávesu ENTER nebo vyberte z vyhledávacího pole. Po nalezení a výběru definice zásady vyberte v dolní části stránky Dostupné definice.

    Snímek obrazovky s filtrem hledání při výběru definice zásady

  8. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte zdědit značku ze skupiny prostředků, pokud chybí. Volitelně můžete přidat také Popis. Popis obsahuje podrobnosti o tomto přiřazení zásady.

  9. Vynucování zásad ponechte povolené. Pokud je toto nastavení zakázané, umožní testování výsledku zásady bez aktivace efektu. Další informace najdete v tématu Režim vynucení.

  10. Přiřazený uživatelem se automaticky vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.

  11. Vyberte kartu Parametry v horní části průvodce.

  12. Jako název značky zadejte prostředí.

  13. V horní části průvodce vyberte kartu Náprava .

  14. Nechejte zaškrtnutou možnost Vytvořit úlohu nápravy . Toto pole umožňuje vytvořit úlohu, která kromě nových nebo aktualizovaných zdrojů změní stávající zdroje. Další informace najdete v tématu Náprava prostředků.

  15. Vytvoření spravované identity se automaticky zkontroluje , protože tato definice zásady používá účinek úpravy . Oprávnění se nastaví na přispěvatele automaticky na základě definice zásady. Další informace najdete v tématu spravované identity a o tom, jak funguje řízení přístupu k nápravě.

  16. V horní části průvodce vyberte kartu Zprávy nedodržování předpisů .

  17. Nastavte zprávu Nedodržování předpisů na Tento prostředek nemá požadovanou značku. Tato vlastní zpráva se zobrazí, když je prostředek odepřen nebo pro prostředky nedodržující předpisy během pravidelného vyhodnocení.

  18. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  19. Zkontrolujte výběry a pak vyberte Vytvořit v dolní části stránky.

Implementace nové vlastní zásady

Teď, když jste přiřadili předdefinovanou definici zásady, můžete se službou Azure Policy provádět další akce. Dále vytvořte novou vlastní zásadu pro úsporu nákladů tím, že ověříte, že virtuální počítače vytvořené ve vašem prostředí nemohou být v řadě G. Tímto způsobem se pokaždé, když se uživatel ve vaší organizaci pokusí vytvořit virtuální počítač v řadě G, žádost se odmítne.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření obsahu

  2. V horní části stránky vyberte + Definice zásady. Toto tlačítko se otevře na stránce definice zásady .

  3. Zadejte následující informace:

    • Skupina pro správu nebo předplatné, ve kterém je definice zásady uložená. Výběr proveďte pomocí tří teček v části Umístění definice.

      Poznámka

      Pokud se chystáte tuto definici zásady použít pro více předplatných, umístěním musí být skupina pro správu obsahující předplatná, ke kterým zásadu přiřadíte. Totéž platí i pro definici iniciativy.

    • Název definice zásady – Vyžadovat skladové položky virtuálních počítačů, které nejsou v řadě G

    • Popis toho, co má definice zásady dělat – tato definice zásady vynucuje, aby všechny virtuální počítače vytvořené v tomto oboru měly jiné skladové položky než řada G, aby se snížily náklady.

    • Zvolte některou z existujících možností (například Compute) nebo pro tuto definici zásady vytvořte novou kategorii.

    • Zkopírujte následující kód JSON a pak v něm podle potřeby aktualizujte:

      • Parametry zásady.
      • Pravidla zásad nebo podmínky v tomto případě – velikost skladové položky virtuálního počítače rovna řadě G
      • Účinek zásady, v tomto případě - Odepřít.

    Tady je ukázka kódu JSON. Vložte svůj upravený kód na web Azure Portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Vlastnost pole v pravidle zásad musí být podporovaná hodnota. Úplný seznam hodnot najdete v polích struktury definic zásad. Příkladem aliasu může být "Microsoft.Compute/VirtualMachines/Size".

    Další Azure Policy ukázky najdete v Azure Policy ukázkách.

  4. Vyberte Uložit.

Vytvoření definice zásady pomocí rozhraní REST API

Zásady můžete vytvořit pomocí rozhraní REST API pro definice Azure Policy. Toto rozhraní API umožňuje vytvářet a odstraňovat definice zásad a získávat informace o existujících definicích. Pokud chcete vytvořit definici zásady, použijte následující příklad:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Přiložte podobný text žádosti jako v následujícím příkladu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Vytvoření definice zásady pomocí PowerShellu

Než budete pokračovat v příkladu PowerShellu, ujistěte se, že jste nainstalovali nejnovější verzi modulu Azure PowerShell Az.

Definici zásady můžete vytvořit pomocí rutiny New-AzPolicyDefinition.

Pokud chcete vytvořit definici zásady ze souboru, předejte cestu k souboru. Pro externí soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pro místní soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Výstup se ukládá v objektu $definition, který se používá při přiřazování zásady. Následující příklad vytvoří definici zásady zahrnující parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Zobrazení definic zásad pomocí PowerShellu

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

Get-AzPolicyDefinition

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Vytvoření definice zásady pomocí Azure CLI

Definici zásad můžete vytvořit pomocí Azure CLI pomocí az policy definition příkazu. Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Zobrazení definic zásad pomocí Azure CLI

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

az policy definition list

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Vytvoření a přiřazení definice iniciativy

Pomocí definice iniciativy můžete seskupit několik definic zásad za účelem dosažení jednoho zastřešujícího cíle. Iniciativa vyhodnocuje prostředky v rámci přiřazení pro dodržování předpisů zahrnutým zásadám. Další informace o definicích iniciativ najdete v tématu Přehled služby Azure Policy.

Vytvoření definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření

  2. Výběrem možnosti + Definice iniciativy v horní části stránky otevřete průvodce definicí iniciativy .

    Snímek obrazovky se stránkou definice iniciativy a vlastnostmi, které chcete nastavit

  3. Pomocí tří teček umístění iniciativy vyberte skupinu pro správu nebo předplatné pro uložení definice. Pokud předchozí stránka byla vymezena na jednu skupinu pro správu nebo předplatné, umístění iniciativy se automaticky vyplní.

  4. Zadejte Název a Popis iniciativy.

    Tento příklad ověří, že prostředky jsou v souladu s definicemi zásad o zabezpečení. Pojmenujte iniciativu Zajištění zabezpečení a nastavte popis na: Tato iniciativa byla vytvořená za účelem zpracování všech definic zásad souvisejících se zabezpečením prostředků.

  5. V části Kategorie zvolte některou z existujících možností nebo vytvořte novou kategorii.

  6. Nastavte verzi iniciativy, například 1.0.

    Poznámka

    Hodnota verze je výhradně metadata a nepoužívá se pro aktualizace ani žádný proces službou Azure Policy.

  7. Vyberte Další v dolní části stránky nebo kartu Zásady v horní části průvodce.

  8. Vyberte tlačítko Přidat definice zásad a projděte si seznam. Vyberte definice zásad, které chcete přidat do této iniciativy. Pro iniciativu Získat zabezpečení přidejte následující předdefinované definice zásad zaškrtnutím políčka vedle definice zásady:

    • Povolená umístění
    • Ochrana koncových bodů by měla být nainstalovaná na počítačích
    • Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.
    • Azure Backup by měly být povolené pro Virtual Machines
    • Pro virtuální počítače by se mělo povolit šifrování disků
    • Přidání nebo nahrazení značky u prostředků (přidání této definice zásad dvakrát)

    Po výběru každé definice zásad ze seznamu vyberte Přidat v dolní části seznamu. Vzhledem k tomu, že je přidán dvakrát, přidání nebo nahrazení značky u definic zásad prostředků získáte jiné REFERENČNÍ ID.

    Snímek obrazovky s vybranými definicemi zásad s jejich referenčním ID a skupinou na stránce definice iniciativy

    Poznámka

    Vybrané definice zásad je možné přidat do skupin výběrem jedné nebo více přidaných definic a výběrem možnosti Přidat vybrané zásady do skupiny. Skupina musí existovat nejprve a lze ji vytvořit na kartě Skupiny v průvodci.

  9. V dolní části stránky nebo na kartě Skupiny v horní části průvodce vyberte Další. Na této kartě je možné přidat nové skupiny. V tomto kurzu nepřidáme žádné skupiny.

  10. Vyberte Další v dolní části stránky nebo kartu Parametry iniciativy v horní části průvodce. Pokud bychom chtěli, aby parametr existoval v iniciativě pro předání jedné nebo více zahrnutých definic zásad, je zde definován parametr a pak použit na kartě Parametry zásad . V tomto kurzu nepřidáme žádné parametry iniciativy.

    Poznámka

    Po uložení do definice iniciativy nelze parametry iniciativy z iniciativy odstranit. Pokud už parametr iniciativy nepotřebujete, odeberte ho z použití libovolnými parametry definice zásad.

  11. V dolní části stránky vyberte Další nebo kartu Parametry zásad v horní části průvodce.

  12. Definice zásad přidané do iniciativy, které mají parametry, se zobrazují v mřížce. Typ hodnoty může být Výchozí hodnota, Set value nebo Use Initiative Parameter. Pokud je vybrána možnost Nastavit hodnotu, zadává se související hodnota v části Hodnoty. Pokud má parametr definice zásady seznam povolených hodnot, je vstupní pole selektor rozevíracího seznamu. Pokud je vybraná možnost Použít parametr iniciativy, zobrazí se rozevírací seznam s názvy parametrů iniciativy vytvořených na kartě Parametry iniciativy .

    Snímek obrazovky s možnostmi povolených hodnot pro parametr definice povolených umístění na kartě parametry zásad na stránce definice iniciativy

    Poznámka

    U některých parametrů strongType není možné automaticky určit seznam hodnot. V těchto případech se napravo od řádku parametru zobrazí tři tečky. Výběrem se otevře stránka Obor parametru (<název> parametru). Na této stránce vyberte předplatné, které chcete použít k zadání možností hodnot. Tento obor parametru se používá pouze během vytváření definice iniciativy a nemá žádný vliv na vyhodnocování zásad ani na obor iniciativy po přiřazení.

    Nastavte typ hodnoty Povolená umístění na Nastavit hodnotu a v rozevíracím seznamu vyberte Usa – východ 2. Pro dvě instance přidání nebo nahrazení značky u definic zásad prostředků nastavte parametry Název značky na Env a CostCenter a parametry Hodnoty značek na Test a Lab, jak je znázorněno níže. Ostatní ponechte jako výchozí hodnotu. Pokud použijete stejnou definici dvakrát v iniciativě, ale s různými parametry, tato konfigurace přidá nebo nahradí značku Env hodnotou Test a značkou CostCenter s hodnotou Lab u prostředků v oboru přiřazení.

    Snímek obrazovky se zadanými možnostmi povolených hodnot pro parametr definice povolených umístění a hodnot pro obě sady parametrů značek na kartě parametry zásad na stránce definice iniciativy

  13. Vyberte Zkontrolovat a vytvořit v dolní části stránky nebo v horní části průvodce.

  14. Zkontrolujte nastavení a vyberte Vytvořit.

Vytvoření definice iniciativy zásad pomocí Azure CLI

Definici iniciativy zásad můžete vytvořit pomocí Azure CLI pomocí az policy set-definition příkazu. Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující příklad:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Vytvoření definice iniciativy zásad pomocí Azure PowerShell

Definici iniciativy zásad můžete vytvořit pomocí Azure PowerShell s rutinouNew-AzPolicySetDefinition. Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující soubor definice iniciativy zásad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Přiřazení definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

  2. Vyhledejte definici iniciativy Zajištění zabezpečení, kterou jste vytvořili dříve, a vyberte ji. V horní části stránky vyberte Přiřadit a otevřete stránku Zajištění zabezpečení: Přiřadit iniciativu.

    Snímek obrazovky s tlačítkem Přiřadit na stránce definice iniciativy

    Můžete také vybrat a podržet (nebo kliknout pravým tlačítkem) na vybraném řádku nebo vybrat tři tečky na konci řádku pro kontextovou nabídku. Pak vyberte Přiřadit.

    Snímek obrazovky s místní nabídkou iniciativy pro výběr funkce Přiřadit

  3. Vyplňte stránku Zajištění zabezpečení: Přiřadit iniciativu zadáním následujících ukázkových údajů. Můžete použít vlastní údaje.

    • Obor: Výchozím oborem se stane skupina pro správu nebo předplatné, kam jste iniciativu uložili. Obor můžete změnit a přiřadit tak iniciativu k předplatnému nebo ke skupině prostředků v rámci umístění pro uložení.
    • Vyloučení: Můžete nakonfigurovat jakékoli prostředky v rámci oboru, na které se nebude přiřazení iniciativy vztahovat.
    • Název definice a přiřazení iniciativy: Zajištění zabezpečení (předem se vyplní název přiřazované iniciativy).
    • Popis: Toto přiřazení iniciativy je přizpůsobené k vynucování této skupiny definic zásad.
    • Vynucení zásad: Ponechejte výchozí povolenou hodnotu.
    • Přiřadil: Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.
  4. Vyberte kartu Parametry v horní části průvodce. Pokud jste v předchozích krocích nakonfigurovali parametr iniciativy, nastavte zde hodnotu.

  5. V horní části průvodce vyberte kartu Náprava . Políčko Vytvořit spravovanou identitu ponechte nezaškrtnuté. Toto políčko musí být zaškrtnuté, když přiřazená zásada nebo iniciativa obsahuje zásadu s nasazenímIfNotExists nebo upravit efekty. Vzhledem k tomu, že zásada použitá pro tento kurz není, ponechte ji prázdnou. Další informace najdete ve spravovaných identitách a o tom, jak funguje řízení přístupu k nápravě.

  6. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  7. Zkontrolujte výběry a pak vyberte Vytvořit v dolní části stránky.

Kontrola počátečního dodržování předpisů

  1. Na levé straně stránky služby Azure Policy vyberte Dodržování předpisů.

  2. Vyhledejte iniciativu Získat zabezpečení . Je pravděpodobné, že stále ve stavu Dodržování předpisůnení spuštěno. Výběrem iniciativy získáte úplné podrobnosti o přiřazení.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativy zobrazující vyhodnocení přiřazení ve stavu Nezahajování

  3. Po dokončení přiřazení iniciativy se na stránce Dodržování předpisů aktualizuje Stav dodržování předpisů na Vyhovuje.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativy zobrazující dokončené vyhodnocení přiřazení a ve stavu vyhovujících předpisů

  4. Výběrem jakékoli zásady na stránce dodržování předpisů iniciativy se otevře stránka s podrobnostmi o dodržování předpisů pro danou zásadu. Tato stránka obsahuje podrobnosti o dodržování předpisů na úrovni prostředku.

Odebrání nevyhovujícího nebo odepřeného prostředku z oboru s vyloučením

Po přiřazení iniciativy zásad, která bude vyžadovat určité umístění, se jakýkoli prostředek vytvořený v jiném umístění odmítne. V této části si projdete vyřešením odepřené žádosti o vytvoření prostředku vytvořením vyloučení pro jednu skupinu prostředků. Vyloučení brání vynucování zásady (nebo iniciativy) dané skupiny prostředků. V následujícím příkladu je v vyloučené skupině prostředků povolené libovolné umístění. Vyloučení může platit pro předplatné, skupinu prostředků nebo jednotlivé prostředky.

Poznámka

Výjimku ze zásad je možné použít také k vynechání vyhodnocení prostředku. Další informace najdete v tématu Rozsah v Azure Policy.

Nasazení zabráněná přiřazenou zásadou nebo iniciativou je možné zobrazit ve skupině prostředků, na kterou cílí nasazení: Vyberte nasazení na levé straně stránky a pak vyberte název nasazení neúspěšného nasazení. U zamítnutého prostředku je uvedený stav Zakázáno. Pokud chcete určit zásadu nebo iniciativu a přiřazení, které prostředek odepře, vyberte Možnost Selhání. Kliknutím sem zobrazíte podrobnosti –> na stránce Přehled nasazení. Na pravé straně stránky se otevře okno s informacemi o chybě. V části Podrobnosti o chybě jsou identifikátory GUID souvisejících objektů zásad.

Snímek obrazovky s neúspěšným nasazením, které bylo odepřeno přiřazením zásad

Na stránce Azure Policy: Na levé straně stránky vyberte Dodržování předpisů a vyberte iniciativu Získat zásady zabezpečení. Na této stránce se zvyšuje počet odepření blokovaných prostředků. Na kartě Události jsou podrobnosti o tom, kdo se pokusil vytvořit nebo nasadit prostředek, který byl odepřen definicí zásad.

Snímek obrazovky s kartou Události a podrobnostmi události zásad na stránce Dodržování předpisů iniciativ

V tomto příkladu trent Baker, jeden z specialistů na virtualizaci společnosti Contoso, prováděl požadovanou práci. Musíme trentu udělit prostor pro výjimku. Vytvořte novou skupinu prostředků , UmístěníExcluded a potom ji udělte výjimce pro toto přiřazení zásad.

Aktualizace přiřazení o vyloučení

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Projděte si všechna přiřazení zásad a otevřete přiřazení zásady Získat zabezpečení .

  3. Vyloučení nastavte tak, že vyberete tři tečky a vyberete skupinu prostředků, kterou chcete vyloučit, UmístěníExcluded v tomto příkladu. Vyberte Přidat do vybraného oboru a pak vyberte Uložit.

    Snímek obrazovky s možností Vyloučení na stránce Přiřazení iniciativy pro přidání vyloučené skupiny prostředků do přiřazení zásad

    Poznámka

    V závislosti na definici zásady a jejím účinku je možné vyloučení udělit také konkrétním prostředkům v rámci skupiny prostředků v rámci rozsahu přiřazení. Protože se v tomto kurzu používal efekt Zamítnutí , nemělo by smysl nastavit vyloučení pro konkrétní prostředek, který již existuje.

  4. Vyberte Zkontrolovat a uložit a pak vyberte Uložit.

V této části jste vyřešili žádost o odepření vytvořením vyloučení pro jednu skupinu prostředků.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujících kroků odstraňte všechna přiřazení zásad nebo definice vytvořené výše:

  1. Vyberte Definice (nebo přiřazení, pokud se pokoušíte odstranit přiřazení) v části Vytváření na levé straně stránky Azure Policy.

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Opakování

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřadili jste zásadu vynucující podmínku u prostředků, které vytvoříte v budoucnu.
  • Vytvořili a přiřadili jste definici iniciativy pro sledování dodržování předpisů u několika prostředků.
  • Vyřešili jste problém s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem.
  • Implementovali jste novou zásadu v rámci celé organizace.

Další kroky

Další informace o strukturách definic zásad najdete v tomto článku: