Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

Porozumění tomu, jak vytvářet a spravovat zásady v Azure, je důležité pro zajištění souladu s firemními standardy a smlouvami o úrovni služeb. V tomto kurzu se dozvíte, jak pomocí služby Azure Policy provádět některé běžné úlohy související s vytvářením, přiřazováním a správou zásad v rámci celé organizace, jako například:

  • Přiřazení zásady vynucující podmínku u prostředků, které vytvoříte v budoucnu
  • Vytvoření a přiřazení definice iniciativy pro sledování dodržování předpisů u několika prostředků
  • Řešení problému s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem
  • Implementace nové zásady v rámci celé organizace

Pokud chcete přiřadit zásadu pro identifikaci aktuálního stavu dodržování předpisů u vašich existujících prostředků, postup najdete v článcích Rychlý start.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přiřazení zásady

Prvním krokem při vynucování dodržování předpisů pomocí služby Azure Policy je přiřazení definice zásady. Definice zásady definuje, za jakých podmínek se zásada vynucuje a jaký účinek se má projevit. V tomto příkladu přiřaďte definici předdefinované zásady s názvem Zdědit značku ze skupiny prostředků, pokud chybí , a přidejte tak zadanou značku s hodnotou z nadřazené skupiny prostředků k novým nebo aktualizovaným prostředkům, které značku chybí.

  1. Přejděte na Azure Portal a přiřaďte zásady. Vyhledejte a vyberte Zásady.

    Snímek obrazovky s hledáním Zásady na panelu hledání

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky s výběrem uzlu Přiřazení na stránce Přehled zásad

  3. V horní části stránky Zásady – Přiřazení vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na stránce Přiřazení

  4. Na stránce Přiřadit zásadu a na kartě Základy vyberte obor tak, že vyberete tři tečky a vyberete skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak v dolní části stránky Obor vyberte Vybrat.

    V tomto příkladu se používá předplatné Contoso . Vaše předplatné se bude lišit.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Můžete nastavit filtr pro Typ definic zásad na Předdefinované a zobrazit všechny definice zásad a přečíst si jejich popisy.

  7. Vyberte Dědit značku ze skupiny prostředků, pokud chybí. Pokud ho nemůžete najít hned, zadejte do vyhledávacího pole zdědit značku a stiskněte enter nebo ho vyberte mimo vyhledávací pole. Jakmile najdete a vyberete definici zásady, v dolní části stránky Dostupné definice vyberte Vybrat.

    Snímek obrazovky s vyhledávacím filtrem při výběru definice zásady

  8. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte možnost Dědit značku ze skupiny prostředků, pokud chybí. Volitelně můžete přidat také Popis. Popis obsahuje podrobnosti o tomto přiřazení zásady.

  9. Vynucování zásad ponechte povolené. Pokud je toto nastavení zakázané, umožňuje testovat výsledek zásad bez aktivace efektu. Další informace najdete v tématu Režim vynucení.

  10. Přiřazeno uživatelem se vyplní automaticky podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.

  11. V horní části průvodce vyberte kartu Parametry .

  12. Jako Název značky zadejte Prostředí.

  13. V horní části průvodce vyberte kartu Náprava .

  14. Možnost Vytvořit úlohu nápravy ponechte nezaškrtnutou. Toto pole umožňuje vytvořit úlohu, která kromě nových nebo aktualizovaných zdrojů změní i stávající zdroje. Další informace najdete v tématu Náprava prostředků.

  15. Možnost Vytvořit spravovanou identitu se automaticky kontroluje, protože tato definice zásad používá účinek modify . Oprávnění se automaticky na základě definice zásady nastaví na Přispěvatel . Další informace najdete v tématu o spravovaných identitách a o tom, jak funguje řízení přístupu k nápravě.

  16. V horní části průvodce vyberte kartu Zprávy o nedodržování předpisů .

  17. Nastavte zprávu o nedodržování předpisů na Tento prostředek nemá požadovanou značku. Tato vlastní zpráva se zobrazí při odepření prostředku nebo v případě nevyhovujících prostředků během pravidelného vyhodnocování.

  18. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  19. Zkontrolujte vybrané možnosti a pak v dolní části stránky vyberte Vytvořit .

Implementace nové vlastní zásady

Teď, když jste přiřadili předdefinovanou definici zásady, můžete se službou Azure Policy provádět další akce. Dále vytvořte novou vlastní zásadu pro úsporu nákladů tím, že ověříte, že virtuální počítače vytvořené ve vašem prostředí nemůžou být v řadě G. Díky tomu se žádost zamítá pokaždé, když se uživatel ve vaší organizaci pokusí vytvořit virtuální počítač v řadě G.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření obsahu

  2. V horní části stránky vyberte + Definice zásady. Toto tlačítko se otevře na stránce Definice zásad .

  3. Zadejte následující informace:

    • Skupina pro správu nebo předplatné, ve kterém je definice zásady uložená. Výběr proveďte pomocí tří teček v části Umístění definice.

      Poznámka

      Pokud se chystáte tuto definici zásady použít pro více předplatných, umístěním musí být skupina pro správu obsahující předplatná, ke kterým zásadu přiřadíte. Totéž platí i pro definici iniciativy.

    • Název definice zásady – Vyžadovat skladové položky virtuálních počítačů, které nejsou v řadě G

    • Popis účelu definice zásady – Tato definice zásady vynucuje, aby všechny virtuální počítače vytvořené v tomto oboru měly jiné skladové položky než řady G, aby se snížily náklady.

    • Zvolte některou z existujících možností (například Compute) nebo pro tuto definici zásady vytvořte novou kategorii.

    • Zkopírujte následující kód JSON a pak v něm podle potřeby aktualizujte:

      • Parametry zásady.
      • Pravidla nebo podmínky zásad, v tomto případě – velikost skladové položky virtuálního počítače se rovná řadě G
      • Účinek zásady, v tomto případě – Odepřít.

    Tady je ukázka kódu JSON. Vložte svůj upravený kód na web Azure Portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Vlastnost pole v pravidle zásad musí být podporovaná hodnota. Úplný seznam hodnot najdete v polích struktury definice zásad. Příkladem aliasu může být "Microsoft.Compute/VirtualMachines/Size".

    Další ukázky Azure Policy najdete v tématu ukázky Azure Policy.

  4. Vyberte Uložit.

Vytvoření definice zásady pomocí rozhraní REST API

Pomocí rozhraní REST API můžete vytvořit zásadu pro definice Azure Policy. Toto rozhraní API umožňuje vytvářet a odstraňovat definice zásad a získávat informace o existujících definicích. Pokud chcete vytvořit definici zásady, použijte následující příklad:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Přiložte podobný text žádosti jako v následujícím příkladu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Vytvoření definice zásady pomocí PowerShellu

Než budete pokračovat v příkladu PowerShellu, ujistěte se, že máte nainstalovanou nejnovější verzi modulu Azure PowerShell Az.

Definici zásady můžete vytvořit pomocí rutiny New-AzPolicyDefinition.

Pokud chcete vytvořit definici zásady ze souboru, předejte cestu k souboru. Pro externí soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pro místní soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Výstup se ukládá v objektu $definition, který se používá při přiřazování zásady. Následující příklad vytvoří definici zásady zahrnující parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Zobrazení definic zásad pomocí PowerShellu

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

Get-AzPolicyDefinition

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Vytvoření definice zásady pomocí Azure CLI

Definici zásad můžete vytvořit pomocí Azure CLI pomocí az policy definition příkazu . Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Zobrazení definic zásad pomocí Azure CLI

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

az policy definition list

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Vytvoření a přiřazení definice iniciativy

Pomocí definice iniciativy můžete seskupit několik definic zásad za účelem dosažení jednoho zastřešujícího cíle. Iniciativa vyhodnocuje prostředky v rozsahu přiřazení z hlediska dodržování předpisů zahrnutým zásadám. Další informace o definicích iniciativ najdete v tématu Přehled služby Azure Policy.

Vytvoření definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice ve skupině Vytváření obsahu

  2. V horní části stránky vyberte + Definice iniciativy a otevřete průvodce definicí iniciativy .

    Snímek obrazovky se stránkou definice iniciativy a vlastnostmi, které chcete nastavit

  3. Pomocí tří teček umístění iniciativy vyberte skupinu pro správu nebo předplatné pro uložení definice. Pokud byla předchozí stránka vymezena na jednu skupinu pro správu nebo předplatné, vyplní se automaticky umístění iniciativy .

  4. Zadejte Název a Popis iniciativy.

    Tento příklad ověřuje, jestli jsou prostředky v souladu s definicemi zásad zabezpečení. Pojmenujte iniciativu Zajištění zabezpečení a nastavte popis na: Tato iniciativa byla vytvořená za účelem zpracování všech definic zásad souvisejících se zabezpečením prostředků.

  5. V části Kategorie zvolte některou z existujících možností nebo vytvořte novou kategorii.

  6. Nastavte verzi pro iniciativu, například 1.0.

    Poznámka

    Hodnota verze jsou výhradně metadata a služba Azure Policy ji nepoužívá k aktualizacím ani žádným procesům.

  7. V dolní části stránky vyberte Další nebo v horní části průvodce vyberte kartu Zásady .

  8. Vyberte tlačítko Přidat definice zásad a projděte seznam. Vyberte definice zásad, které chcete přidat do této iniciativy. Pro iniciativu Získat zabezpečení přidejte následující předdefinované definice zásad zaškrtnutím políčka vedle definice zásady:

    • Povolená umístění
    • Na počítačích by se měla nainstalovat služba Endpoint Protection.
    • Virtuální počítače bez přístupu k internetu by se měly chránit pomocí skupin zabezpečení sítě
    • Azure Backup by měla být povolená pro Virtual Machines
    • Pro virtuální počítače by se mělo povolit šifrování disků
    • Přidání nebo nahrazení značky u prostředků (přidání definice zásady dvakrát)

    Po výběru jednotlivých definic zásad ze seznamu vyberte Přidat v dolní části seznamu. Vzhledem k tomu, že je přidaná dvakrát, získá každá z definic zásad Přidat nebo nahradit značku u definic prostředků jiné referenční ID.

    Snímek obrazovky s vybranými definicemi zásad a jejich referenčním ID a skupinou na stránce definice iniciativy

    Poznámka

    Vybrané definice zásad můžete přidat do skupin tak, že vyberete jednu nebo více přidaných definic a vyberete Přidat vybrané zásady do skupiny. Skupina musí nejprve existovat a je možné ji vytvořit na kartě Skupiny v průvodci.

  9. Vyberte Další v dolní části stránky nebo kartu Skupiny v horní části průvodce. Na této kartě je možné přidat nové skupiny. Pro účely tohoto kurzu nepřidáme žádné skupiny.

  10. Vyberte Další v dolní části stránky nebo kartu Parametry iniciativy v horní části průvodce. Pokud chceme, aby v iniciativě existoval parametr pro předávání do jedné nebo více zahrnutých definic zásad, je parametr definován tady a pak použit na kartě Parametry zásad . V tomto kurzu nepřidáme žádné parametry iniciativy.

    Poznámka

    Po uložení do definice iniciativy není možné z iniciativy odstranit parametry iniciativy. Pokud už parametr iniciativy není potřeba, odeberte ho z používání všemi parametry definice zásad.

  11. Vyberte Další v dolní části stránky nebo kartu Parametry zásad v horní části průvodce.

  12. Definice zásad přidané do iniciativy s parametry se zobrazí v mřížce. Typ hodnoty může být Výchozí hodnota, Nastavit hodnotu nebo Použít parametr iniciativy. Pokud je vybraná možnost Nastavit hodnotu, je v části Hodnoty zadána související hodnota. Pokud parametr v definici zásady obsahuje seznam povolených hodnot, je vstupním polem selektor rozevíracího seznamu. Pokud je vybraná možnost Použít parametr iniciativy, zobrazí se rozevírací seznam s názvy parametrů iniciativy vytvořenými na kartě Parametry iniciativy .

    Snímek obrazovky s možnostmi povolených hodnot pro parametr definice povolených umístění na kartě parametry zásad na stránce definice iniciativy

    Poznámka

    U některých parametrů strongType není možné automaticky určit seznam hodnot. V těchto případech se napravo od řádku parametru zobrazí tři tečky. Výběrem této možnosti se otevře stránka Obor parametrů (<název> parametru). Na této stránce vyberte předplatné, které chcete použít k zadání možností hodnot. Tento obor parametru se používá pouze během vytváření definice iniciativy a nemá žádný vliv na vyhodnocování zásad ani na obor iniciativy po přiřazení.

    Nastavte typ hodnoty Allowed locations (Povolená umístění) na Set value (Nastavit hodnotu) a v rozevíracím seznamu vyberte USA – východ 2. U dvou instancí přidání nebo nahrazení značky v definicích zásad prostředků nastavte parametry Název značky na Env a CostCenter a parametry Hodnota značky na Test a Lab, jak je znázorněno níže. Ostatní ponechte jako Výchozí hodnotu. Když v iniciativě použijete stejnou definici dvakrát, ale s různými parametry, tato konfigurace přidá nebo nahradí značku Env hodnotou Test a značku CostCenter hodnotou Lab u prostředků v rozsahu přiřazení.

    Snímek obrazovky se zadanými možnostmi pro povolené hodnoty parametru definice povolených umístění a hodnotami pro obě sady parametrů značek na kartě parametry zásad na stránce definice iniciativy

  13. V dolní části stránky nebo v horní části průvodce vyberte Zkontrolovat a vytvořit .

  14. Zkontrolujte nastavení a vyberte Vytvořit.

Vytvoření definice iniciativy zásad pomocí Azure CLI

Definici iniciativy zásad můžete vytvořit pomocí Azure CLI pomocí az policy set-definition příkazu . Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující příklad:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Vytvoření definice iniciativy zásad pomocí Azure PowerShell

Definici iniciativy zásad můžete vytvořit pomocí Azure PowerShell s rutinouNew-AzPolicySetDefinition. Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující soubor definice iniciativy zásad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Přiřazení definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

  2. Vyhledejte definici iniciativy Zajištění zabezpečení, kterou jste vytvořili dříve, a vyberte ji. V horní části stránky vyberte Přiřadit a otevřete stránku Zajištění zabezpečení: Přiřadit iniciativu.

    Snímek obrazovky s tlačítkem Přiřadit na stránce definice iniciativy

    Můžete také vybrat a podržet (nebo kliknout pravým tlačítkem) na vybraném řádku nebo vybrat tři tečky na konci řádku pro místní nabídku. Pak vyberte Přiřadit.

    Snímek obrazovky s místní nabídkou iniciativy pro výběr funkce Přiřadit

  3. Vyplňte stránku Zajištění zabezpečení: Přiřadit iniciativu zadáním následujících ukázkových údajů. Můžete použít vlastní údaje.

    • Obor: Výchozím oborem se stane skupina pro správu nebo předplatné, kam jste iniciativu uložili. Obor můžete změnit a přiřadit tak iniciativu k předplatnému nebo ke skupině prostředků v rámci umístění pro uložení.
    • Vyloučení: Můžete nakonfigurovat jakékoli prostředky v rámci oboru, na které se nebude přiřazení iniciativy vztahovat.
    • Název definice a přiřazení iniciativy: Zajištění zabezpečení (předem se vyplní název přiřazované iniciativy).
    • Popis: Toto přiřazení iniciativy je přizpůsobené k vynucování této skupiny definic zásad.
    • Vynucování zásad: Ponechte výchozí Povoleno.
    • Přiřadil: Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.
  4. V horní části průvodce vyberte kartu Parametry . Pokud jste v předchozích krocích nakonfigurovali parametr iniciativy, nastavte hodnotu tady.

  5. V horní části průvodce vyberte kartu Náprava . Políčko Vytvořit spravovanou identitu ponechte nezaškrtnuté. Toto políčko musí být zaškrtnuté, pokud přiřazená zásada nebo iniciativa zahrnuje zásadu s efekty deployIfNotExists nebo modify . Vzhledem k tomu, že zásada použitá v tomto kurzu není, nechte ji prázdnou. Další informace najdete v tématu o spravovaných identitách a o tom, jak funguje řízení přístupu k nápravě.

  6. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit .

  7. Zkontrolujte vybrané možnosti a pak v dolní části stránky vyberte Vytvořit .

Kontrola počátečního dodržování předpisů

  1. Na levé straně stránky služby Azure Policy vyberte Dodržování předpisů.

  2. Vyhledejte iniciativu Získat zabezpečení . Je pravděpodobné, že je stále ve stavu Dodržování předpisů– Nespustilo se. Výběrem iniciativy získáte úplné podrobnosti o zadání.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativou zobrazující vyhodnocení zadání ve stavu Nespustilo se

  3. Po dokončení přiřazení iniciativy se na stránce Dodržování předpisů aktualizuje Stav dodržování předpisů na Vyhovuje.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativy zobrazující dokončené vyhodnocení zadání a ve stavu vyhovujících předpisům

  4. Když vyberete libovolnou zásadu na stránce dodržování předpisů iniciativ, otevře se stránka podrobností o dodržování předpisů pro danou zásadu. Tato stránka obsahuje podrobnosti o dodržování předpisů na úrovni prostředku.

Odebrání nevyhovujícího nebo odepřeného prostředku z oboru s vyloučením

Po přiřazení iniciativy zásad, která vyžaduje konkrétní umístění, se jakýkoli prostředek vytvořený v jiném umístění odmítne. V této části si projdete řešení zamítnuté žádosti o vytvoření prostředku vytvořením vyloučení pro jednu skupinu prostředků. Vyloučení brání vynucení zásady (nebo iniciativy) pro danou skupinu prostředků. V následujícím příkladu je ve vyloučené skupině prostředků povoleno jakékoli umístění. Vyloučení se může vztahovat na předplatné, skupinu prostředků nebo jednotlivé prostředky.

Poznámka

Výjimku ze zásad je také možné použít při přeskočení vyhodnocení prostředku. Další informace najdete v tématu Obor v Azure Policy.

Nasazení, kterým brání přiřazená zásada nebo iniciativa, je možné zobrazit ve skupině prostředků, na kterou nasazení cílí: Na levé straně stránky vyberte Nasazení a pak vyberte Název nasazení neúspěšného nasazení. U zamítnutého prostředku je uvedený stav Zakázáno. Pokud chcete určit zásadu nebo iniciativu a přiřazení, které prostředek zamítly, vyberte Neúspěšné. Kliknutím sem zobrazíte podrobnosti –> na stránce Přehled nasazení. Na pravé straně stránky se otevře okno s informacemi o chybě. V části Podrobnosti o chybě jsou identifikátory GUID souvisejících objektů zásad.

Snímek obrazovky neúspěšného nasazení, které bylo zamítnuto přiřazením zásad

Na stránce Azure Policy: Na levé straně stránky vyberte Dodržování předpisů a vyberte iniciativu Získat zásady zabezpečení. Na této stránce se zvyšuje počet zamítnutí blokovaných prostředků. Na kartě Události jsou podrobnosti o tom, kdo se pokusil vytvořit nebo nasadit prostředek, který definice zásady zamítla.

Snímek obrazovky s kartou Události a podrobnostmi o události zásad na stránce Dodržování předpisů iniciativou

V tomto příkladu prováděl Trent Baker, jeden ze specialistů na virtualizaci společnosti Contoso, požadovanou práci. Musíme trentu udělit prostor pro výjimku. Vytvořte novou skupinu prostředků LocationsExcluded a potom jí udělte výjimku z tohoto přiřazení zásad.

Aktualizace přiřazení o vyloučení

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Projděte si všechna přiřazení zásad a otevřete přiřazení Získat zásadu zabezpečení .

  3. Nastavte vyloučení tak, že vyberete tři tečky a vyberete skupinu prostředků, kterou chcete vyloučit, LocationsExcluded v tomto příkladu. Vyberte Přidat do vybraného oboru a pak vyberte Uložit.

    Snímek obrazovky s možností Vyloučení na stránce Přiřazení iniciativy pro přidání vyloučené skupiny prostředků do přiřazení zásad

    Poznámka

    V závislosti na definici zásady a jejím účinku je možné vyloučení udělit také konkrétním prostředkům v rámci skupiny prostředků v rámci rozsahu přiřazení. Vzhledem k tomu, že se v tomto kurzu použil efekt Odepřít , nemělo by smysl nastavit vyloučení pro konkrétní prostředek, který už existuje.

  4. Vyberte Zkontrolovat a uložit a pak vyberte Uložit.

V této části jste vyřešili odepřený požadavek vytvořením vyloučení pro jednu skupinu prostředků.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujícího postupu odstraňte přiřazení zásad nebo definice vytvořené výše:

  1. V části Vytváření obsahu na levé straně stránky Azure Policy vyberte Definice (nebo Přiřazení, pokud se pokoušíte odstranit přiřazení).

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Opakování

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřadili jste zásadu vynucující podmínku u prostředků, které vytvoříte v budoucnu.
  • Vytvořili a přiřadili jste definici iniciativy pro sledování dodržování předpisů u několika prostředků.
  • Vyřešili jste problém s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem.
  • Implementovali jste novou zásadu v rámci celé organizace.

Další kroky

Další informace o strukturách definic zásad najdete v tomto článku: