Kurz: Vytvoření a správa zásad pro vynucování dodržování předpisů

Pochopení toho, jak vytvářet a spravovat zásady v Azure, je důležité pro dodržování podnikových standardů a smluv o úrovni služeb. V tomto kurzu se dozvíte, jak pomocí služby Azure Policy provádět některé běžné úlohy související s vytvářením, přiřazováním a správou zásad v rámci celé organizace, jako například:

  • Přiřazení zásady vynucující podmínku u prostředků, které vytvoříte v budoucnu
  • Vytvoření a přiřazení definice iniciativy pro sledování dodržování předpisů u několika prostředků
  • Řešení problému s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem
  • Implementace nové zásady v rámci celé organizace

Pokud chcete přiřadit zásadu pro identifikaci aktuálního stavu dodržování předpisů u vašich existujících prostředků, postup najdete v článcích Rychlý start.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přiřazení zásady

Prvním krokem při vynucování dodržování předpisů pomocí služby Azure Policy je přiřazení definice zásady. Definice zásady definuje, za jakých podmínek se zásada vynucuje a jaký účinek se má projevit. V tomto příkladu přiřaďte předdefinovanou definici zásad s názvem Zdědit značku ze skupiny prostředků, pokud chybí , a přidejte tak zadanou značku s hodnotou z nadřazené skupiny prostředků do nových nebo aktualizovaných prostředků, které značku chybí.

  1. Přejděte na Azure Portal a přiřaďte zásady. Vyhledejte a vyberte Zásady.

    Snímek obrazovky s hledáním zásady na panelu hledání

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky s výběrem uzlu Přiřazení na stránce Přehled zásad

  3. V horní části stránky Zásady – Přiřazení vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na stránce Přiřazení

  4. Na stránce Přiřadit zásadu a na kartě Základy vyberte obor tak, že vyberete tři tečky a vyberete skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak v dolní části stránky Obor vyberte Vybrat.

    V tomto příkladu se používá předplatné Contoso . Vaše předplatné se bude lišit.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Můžete nastavit filtr pro Typ definic zásad na Předdefinované a zobrazit všechny definice zásad a přečíst si jejich popisy.

  7. Pokud chybí, vyberte Zdědit značku ze skupiny prostředků. Pokud ho nemůžete najít hned, zadejte do vyhledávacího pole zdědit značku a stiskněte klávesu ENTER nebo vyberte mimo vyhledávací pole. Jakmile najdete a vyberete definici zásady, vyberte Vybrat v dolní části stránky Dostupné definice .

    Snímek obrazovky s vyhledávacím filtrem při výběru definice zásady

  8. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte možnost Zdědit značku ze skupiny prostředků, pokud chybí. Volitelně můžete přidat také Popis. Popis obsahuje podrobnosti o tomto přiřazení zásady.

  9. Vynucování zásad ponechte povoleno. Pokud je toto nastavení zakázáno, umožňuje otestovat výsledek zásad bez aktivace efektu. Další informace najdete v tématu Režim vynucení.

  10. Přiřazení uživatelem se automaticky vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.

  11. V horní části průvodce vyberte kartu Parametry .

  12. Jako Název značky zadejte Prostředí.

  13. V horní části průvodce vyberte kartu Náprava .

  14. Možnost Vytvořit úlohu nápravy nechejte zaškrtnutou. Toto pole umožňuje vytvořit úlohu, která kromě nových nebo aktualizovaných zdrojů změní stávající zdroje. Další informace najdete v tématu o nápravě prostředků.

  15. Vytvoření spravované identity se automaticky kontroluje, protože tato definice zásad používá efekt úpravy . Oprávnění se nastaví na Přispěvatel automaticky na základě definice zásady. Další informace najdete v tématu o spravovaných identitách a o tom, jak funguje řízení přístupu k nápravě.

  16. V horní části průvodce vyberte kartu Zprávy o nedodržování předpisů .

  17. Nastavte zprávu o nedodržování předpisů na Tento prostředek nemá požadovanou značku. Tato vlastní zpráva se zobrazí, když je prostředek odepřen nebo pro nedodržující prostředky během pravidelného vyhodnocení.

  18. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  19. Zkontrolujte vybrané možnosti a pak v dolní části stránky vyberte Vytvořit .

Implementace nové vlastní zásady

Teď, když jste přiřadili předdefinovanou definici zásady, můžete se službou Azure Policy provádět další akce. Dále vytvořte novou vlastní zásadu, která ušetří náklady tím, že ověří, že virtuální počítače vytvořené ve vašem prostředí nemůžou být v řadě G. Tímto způsobem se žádost zamítá pokaždé, když se uživatel ve vaší organizaci pokusí vytvořit virtuální počítač v řadě G.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření obsahu

  2. V horní části stránky vyberte + Definice zásady. Toto tlačítko se otevře na stránce Definice zásad .

  3. Zadejte následující informace:

    • Skupina pro správu nebo předplatné, ve kterém je definice zásady uložená. Výběr proveďte pomocí tří teček v části Umístění definice.

      Poznámka

      Pokud se chystáte tuto definici zásady použít pro více předplatných, umístěním musí být skupina pro správu obsahující předplatná, ke kterým zásadu přiřadíte. Totéž platí i pro definici iniciativy.

    • Název definice zásady – Vyžadovat skladové položky virtuálních počítačů, které nejsou v řadě G

    • Popis toho, co má definice zásady dělat – Tato definice zásad vynucuje, aby všechny virtuální počítače vytvořené v tomto oboru měly jiné skladové položky než řady G, aby se snížily náklady.

    • Zvolte některou z existujících možností (například Compute) nebo pro tuto definici zásady vytvořte novou kategorii.

    • Zkopírujte následující kód JSON a pak v něm podle potřeby aktualizujte:

      • Parametry zásady.
      • Pravidla nebo podmínky zásad, v tomto případě – velikost skladové položky virtuálního počítače rovna řadě G
      • Účinek zásad, v tomto případě – Odepřít.

    Tady je ukázka kódu JSON. Vložte svůj upravený kód na web Azure Portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Vlastnost pole v pravidle zásad musí být podporovaná hodnota. Úplný seznam hodnot najdete v polích struktury definice zásad. Příkladem aliasu může být "Microsoft.Compute/VirtualMachines/Size".

    Další ukázky Azure Policy najdete v ukázkách Azure Policy.

  4. Vyberte Uložit.

Vytvoření definice zásady pomocí rozhraní REST API

Pomocí rozhraní REST API můžete vytvořit zásadu pro definice Azure Policy. Toto rozhraní API umožňuje vytvářet a odstraňovat definice zásad a získávat informace o existujících definicích. Pokud chcete vytvořit definici zásady, použijte následující příklad:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Přiložte podobný text žádosti jako v následujícím příkladu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Vytvoření definice zásady pomocí PowerShellu

Než budete pokračovat v příkladu PowerShellu, ujistěte se, že jste nainstalovali nejnovější verzi modulu Azure PowerShell Az.

Definici zásady můžete vytvořit pomocí rutiny New-AzPolicyDefinition.

Pokud chcete vytvořit definici zásady ze souboru, předejte cestu k souboru. Pro externí soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pro místní soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Výstup se ukládá v objektu $definition, který se používá při přiřazování zásady. Následující příklad vytvoří definici zásady zahrnující parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Zobrazení definic zásad pomocí PowerShellu

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

Get-AzPolicyDefinition

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Vytvoření definice zásady pomocí Azure CLI

Definici zásad můžete vytvořit pomocí Azure CLI pomocí az policy definition příkazu . Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Zobrazení definic zásad pomocí Azure CLI

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

az policy definition list

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Vytvoření a přiřazení definice iniciativy

Pomocí definice iniciativy můžete seskupit několik definic zásad za účelem dosažení jednoho zastřešujícího cíle. Iniciativa vyhodnocuje prostředky v rámci rozsahu přiřazení z hlediska dodržování zahrnutých zásad. Další informace o definicích iniciativ najdete v tématu Přehled služby Azure Policy.

Vytvoření definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření obsahu

  2. V horní části stránky vyberte + Definice iniciativy a otevřete průvodce definicí iniciativy .

    Snímek obrazovky se stránkou definice iniciativy a vlastnostmi, které se mají nastavit

  3. Pomocí tří teček umístění iniciativy vyberte skupinu pro správu nebo předplatné pro uložení definice. Pokud byla předchozí stránka vymezena na jednu skupinu pro správu nebo předplatné, vyplní se automaticky umístění iniciativy .

  4. Zadejte Název a Popis iniciativy.

    Tento příklad ověřuje, že prostředky jsou v souladu s definicemi zásad zabezpečení. Pojmenujte iniciativu Zajištění zabezpečení a nastavte popis na: Tato iniciativa byla vytvořená za účelem zpracování všech definic zásad souvisejících se zabezpečením prostředků.

  5. V části Kategorie zvolte některou z existujících možností nebo vytvořte novou kategorii.

  6. Nastavte verzi pro iniciativu, například 1.0.

    Poznámka

    Hodnota verze jsou výhradně metadata a služba Azure Policy ji nepoužívá pro aktualizace ani žádný proces.

  7. Vyberte Další v dolní části stránky nebo kartu Zásady v horní části průvodce.

  8. Vyberte tlačítko Přidat definice zásad a projděte seznam. Vyberte definice zásad, které chcete přidat do této iniciativy. Pro iniciativu Získat zabezpečení přidejte následující předdefinované definice zásad zaškrtnutím políčka vedle definice zásady:

    • Povolená umístění
    • Na počítačích by se měla nainstalovat ochrana koncových bodů.
    • Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné skupinami zabezpečení sítě.
    • Azure Backup by měla být povolená pro Virtual Machines
    • Pro virtuální počítače by se mělo povolit šifrování disků
    • Přidání nebo nahrazení značky u prostředků (přidání této definice zásady dvakrát)

    Po výběru každé definice zásad ze seznamu vyberte Přidat v dolní části seznamu. Vzhledem k tomu, že se přidá dvakrát, získá každá z definic zásad Přidat nebo nahradit značku v definicích prostředků jiné referenční ID.

    Snímek obrazovky s vybranými definicemi zásad a jejich referenčním ID a skupinou na stránce definice iniciativy

    Poznámka

    Vybrané definice zásad můžete přidat do skupin tak, že vyberete jednu nebo více přidaných definic a vyberete Přidat vybrané zásady do skupiny. Skupina musí nejprve existovat a je možné ji vytvořit na kartě Skupiny v průvodci.

  9. Vyberte Další v dolní části stránky nebo kartu Skupiny v horní části průvodce. Na této kartě je možné přidat nové skupiny. Pro účely tohoto kurzu nepřidáme žádné skupiny.

  10. Vyberte Další v dolní části stránky nebo kartu Parametry iniciativy v horní části průvodce. Pokud bychom chtěli, aby v iniciativě existoval parametr pro předávání do jedné nebo více zahrnutých definic zásad, je zde parametr definovaný a pak se použije na kartě Parametry zásad . Pro účely tohoto kurzu nepřidáme žádné parametry iniciativy.

    Poznámka

    Po uložení do definice iniciativy nelze parametry iniciativy z iniciativy odstranit. Pokud už parametr iniciativy není potřeba, odeberte ho z používání všemi parametry definice zásad.

  11. Vyberte Další v dolní části stránky nebo kartu Parametry zásad v horní části průvodce.

  12. Definice zásad přidané do iniciativy, které mají parametry, se zobrazí v mřížce. Typ hodnoty může být Výchozí hodnota, Nastavit hodnotu nebo Použít parametr iniciativy. Pokud je vybraná možnost Nastavit hodnotu, zadává se v části Hodnoty související hodnota. Pokud parametr v definici zásady obsahuje seznam povolených hodnot, je pole pro zadání rozevírací seznam selektorem. Pokud je vybraná možnost Použít parametr iniciativy, zobrazí se rozevírací seznam s názvy parametrů iniciativy vytvořených na kartě Parametry iniciativy .

    Snímek obrazovky s možnostmi povolených hodnot pro parametr definice povolených umístění na kartě Parametry zásad na stránce definice iniciativy

    Poznámka

    U některých parametrů strongType není možné automaticky určit seznam hodnot. V těchto případech se napravo od řádku parametru zobrazí tři tečky. Když ho vyberete, otevře se stránka Obor parametrů (<název> parametru). Na této stránce vyberte předplatné, které chcete použít k zadání možností hodnot. Tento obor parametru se používá pouze během vytváření definice iniciativy a nemá žádný vliv na vyhodnocování zásad ani na obor iniciativy po přiřazení.

    Nastavte typ hodnoty Povolená umístění na Nastavit hodnotu a v rozevíracím seznamu vyberte USA – východ 2. Pro dvě instance přidání nebo nahrazení značky v definicích zásad prostředků nastavte parametry Název značky na Env a CostCenter a parametry Hodnota značky na Test a Lab, jak je znázorněno níže. U ostatních ponechte výchozí hodnotu. Při použití stejné definice dvakrát v iniciativě, ale s různými parametry, tato konfigurace přidá nebo nahradí značku Env hodnotou Test a značku CostCenter s hodnotou Lab u prostředků v rozsahu přiřazení.

    Snímek obrazovky se zadanými možnostmi pro povolené hodnoty parametru definice povolených umístění a hodnot obou sad parametrů značek na kartě parametry zásad na stránce definice iniciativy

  13. V dolní části stránky nebo v horní části průvodce vyberte Zkontrolovat a vytvořit .

  14. Zkontrolujte nastavení a vyberte Vytvořit.

Vytvoření definice iniciativy zásad pomocí Azure CLI

Definici iniciativy zásad můžete vytvořit pomocí Azure CLI pomocí az policy set-definition příkazu . Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující příklad:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Vytvoření definice iniciativy zásad pomocí Azure PowerShell

Definici iniciativy zásad můžete vytvořit pomocí Azure PowerShell pomocí rutiny New-AzPolicySetDefinition . Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující soubor definice iniciativy zásad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Přiřazení definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

  2. Vyhledejte definici iniciativy Zajištění zabezpečení, kterou jste vytvořili dříve, a vyberte ji. V horní části stránky vyberte Přiřadit a otevřete stránku Zajištění zabezpečení: Přiřadit iniciativu.

    Snímek obrazovky s tlačítkem Přiřadit na stránce definice iniciativy

    Můžete také vybrat a podržet (nebo kliknout pravým tlačítkem) na vybraném řádku nebo vybrat tři tečky na konci řádku pro kontextovou nabídku. Pak vyberte Přiřadit.

    Snímek obrazovky s místní nabídkou pro iniciativu pro výběr funkce Přiřadit

  3. Vyplňte stránku Zajištění zabezpečení: Přiřadit iniciativu zadáním následujících ukázkových údajů. Můžete použít vlastní údaje.

    • Obor: Výchozím oborem se stane skupina pro správu nebo předplatné, kam jste iniciativu uložili. Obor můžete změnit a přiřadit tak iniciativu k předplatnému nebo ke skupině prostředků v rámci umístění pro uložení.
    • Vyloučení: Můžete nakonfigurovat jakékoli prostředky v rámci oboru, na které se nebude přiřazení iniciativy vztahovat.
    • Název definice a přiřazení iniciativy: Zajištění zabezpečení (předem se vyplní název přiřazované iniciativy).
    • Popis: Toto přiřazení iniciativy je přizpůsobené k vynucování této skupiny definic zásad.
    • Vynucení zásad: Ponechte výchozí povoleno.
    • Přiřadil: Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.
  4. V horní části průvodce vyberte kartu Parametry . Pokud jste v předchozích krocích nakonfigurovali parametr iniciativy, nastavte hodnotu tady.

  5. V horní části průvodce vyberte kartu Náprava . Políčko Vytvořit spravovanou identitu ponechte nezaškrtnuté. Toto políčko musí být zaškrtnuté, pokud přiřazovaná zásada nebo iniciativa zahrnuje zásadu s efekty deployIfNotExists nebo modify . Protože zásady použité v tomto kurzu nechejte prázdné. Další informace najdete v tématu o spravovaných identitách a o tom, jak funguje řízení přístupu k nápravě.

  6. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  7. Zkontrolujte vybrané možnosti a pak v dolní části stránky vyberte Vytvořit .

Kontrola počátečního dodržování předpisů

  1. Na levé straně stránky služby Azure Policy vyberte Dodržování předpisů.

  2. Vyhledejte iniciativu Získat zabezpečení . Pravděpodobně je stále ve stavu Dodržování předpisů– Nespustilo se. Výběrem iniciativy získáte úplné podrobnosti o přiřazení.

    Snímek obrazovky se stránkou dodržování předpisů iniciativy zobrazující vyhodnocení přiřazení v nezasukaném stavu

  3. Po dokončení přiřazení iniciativy se na stránce Dodržování předpisů aktualizuje Stav dodržování předpisů na Vyhovuje.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativy zobrazující dokončené a vyhovující vyhodnocení přiřazení

  4. Výběrem libovolné zásady na stránce dodržování předpisů iniciativy se otevře stránka s podrobnostmi o dodržování předpisů pro danou zásadu. Tato stránka obsahuje podrobnosti o dodržování předpisů na úrovni prostředku.

Odebrání prostředku, který nedodržuje předpisy nebo odepřený prostředek, z oboru s vyloučením

Po přiřazení iniciativy zásad, která vyžaduje konkrétní umístění, se jakýkoli prostředek vytvořený v jiném umístění odmítne. V této části si projdete řešení zamítnuté žádosti o vytvoření prostředku vytvořením vyloučení pro jednu skupinu prostředků. Vyloučení brání vynucení zásady (nebo iniciativy) u této skupiny prostředků. V následujícím příkladu je ve vyloučené skupině prostředků povolené jakékoli umístění. Vyloučení se může vztahovat na předplatné, skupinu prostředků nebo jednotlivé prostředky.

Poznámka

Výjimku ze zásad je také možné použít k vynechání vyhodnocení prostředku. Další informace najdete v tématu Obor v Azure Policy.

Nasazení, kterým přiřazené zásady nebo iniciativa brání, se dají zobrazit ve skupině prostředků, na kterou nasazení cílí: Na levé straně stránky vyberte Nasazení a pak vyberte Název nasazení , které selhalo. U zamítnutého prostředku je uvedený stav Zakázáno. Pokud chcete zjistit zásadu nebo iniciativu a přiřazení, které prostředek zamítly, vyberte Selhání. Kliknutím sem zobrazíte podrobnosti –> na stránce Přehled nasazení. Na pravé straně stránky se otevře okno s informacemi o chybě. V části Podrobnosti o chybě jsou identifikátory GUID souvisejících objektů zásad.

Snímek obrazovky s neúspěšným nasazením, které bylo zamítnuto přiřazením zásady

Na stránce Azure Policy: Na levé straně stránky vyberte Dodržování předpisů a vyberte iniciativu Získat zásady zabezpečení. Na této stránce se zvyšuje počet zamítnutí blokovaných prostředků. Na kartě Události jsou podrobnosti o tom, kdo se pokusil vytvořit nebo nasadit prostředek, který definice zásady zamítla.

Snímek obrazovky s kartou Události a podrobnostmi o událostech zásad na stránce Dodržování předpisů iniciativ

V tomto příkladu dělal Trent Baker, jeden ze specialistů na virtualizaci společnosti Contoso, požadovanou práci. Musíme Trentu udělit prostor pro výjimku. Vytvořte novou skupinu prostředků LocationsExcluded a pak jí udělte výjimku z přiřazení této zásady.

Aktualizace přiřazení o vyloučení

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Projděte si všechna přiřazení zásad a otevřete přiřazení zásady Získat zabezpečení .

  3. Nastavte vyloučení tak, že vyberete tři tečky a vyberete skupinu prostředků, která se má vyloučit, UmístěníExcluded v tomto příkladu. Vyberte Přidat do vybraného oboru a pak vyberte Uložit.

    Snímek obrazovky s možností Vyloučení na stránce Přiřazení iniciativy pro přidání vyloučené skupiny prostředků k přiřazení zásad

    Poznámka

    V závislosti na definici zásady a jejím účinku je možné udělit vyloučení také konkrétním prostředkům v rámci skupiny prostředků v rámci oboru přiřazení. Vzhledem k tomu, že se v tomto kurzu použil efekt Zamítnutí , nemělo by smysl nastavit vyloučení pro konkrétní prostředek, který už existuje.

  4. Vyberte Zkontrolovat a uložit a pak vyberte Uložit.

V této části jste vyřešili zamítnutý požadavek vytvořením vyloučení pro jednu skupinu prostředků.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujícího postupu odstraňte všechna přiřazení nebo definice zásad vytvořené výše:

  1. V části Vytváření obsahu na levé straně stránky Azure Policy vyberte Definice (nebo Přiřazení, pokud se pokoušíte odstranit přiřazení).

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Opakování

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřadili jste zásadu vynucující podmínku u prostředků, které vytvoříte v budoucnu.
  • Vytvořili a přiřadili jste definici iniciativy pro sledování dodržování předpisů u několika prostředků.
  • Vyřešili jste problém s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem.
  • Implementovali jste novou zásadu v rámci celé organizace.

Další kroky

Další informace o strukturách definic zásad najdete v tomto článku: