Sdílet prostřednictvím

Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

  • Článek

Znalost vytváření a správy zásad v Azure je důležitá pro zajištění souladu s vašimi firemními standardy a smlouvami o úrovni služeb. V tomto kurzu se dozvíte, jak pomocí služby Azure Policy provádět některé běžné úlohy související s vytvářením, přiřazováním a správou zásad v rámci celé organizace, jako například:

  • Přiřazení zásady vynucující podmínku u prostředků, které vytvoříte v budoucnu
  • Vytvoření a přiřazení definice iniciativy pro sledování dodržování předpisů u několika prostředků
  • Řešení problému s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem
  • Implementace nové zásady v rámci celé organizace

Pokud chcete přiřadit zásadu pro identifikaci aktuálního stavu dodržování předpisů u vašich existujících prostředků, postup najdete v článcích Rychlý start.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přiřazení zásady

Prvním krokem při vynucování dodržování předpisů pomocí služby Azure Policy je přiřazení definice zásady. Definice zásady definuje, za jakých podmínek se zásada vynucuje a jaký účinek se má projevit. V tomto příkladu přiřaďte předdefinovanou definici zásady s názvem Dědit značku ze skupiny prostředků, pokud chybí , aby se přidala zadaná značka s hodnotou z nadřazené skupiny prostředků do nových nebo aktualizovaných prostředků, které značku chybí.

  1. Přejděte na web Azure Portal a přiřaďte zásady. Vyhledejte a vyberte Zásady.

    Snímek obrazovky s hledáním zásad na panelu hledání

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky s výběrem uzlu Přiřazení na stránce Přehled zásad

  3. V horní části zásad vyberte Přiřadit zásadu | Stránka Zadání

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na stránce Přiřazení

  4. Na stránce Přiřadit zásadu a Základní informace vyberte obor tak, že vyberete tři tečky a vyberete skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak vyberte Vybrat v dolní části stránky Obor.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Můžete nastavit filtr pro Typ definic zásad na Předdefinované a zobrazit všechny definice zásad a přečíst si jejich popisy.

  7. Pokud chybí, vyberte Zdědit značku ze skupiny prostředků. Pokud ho nemůžete hned najít, zadejte do vyhledávacího pole zděděnou značku a stiskněte enter nebo vyberte z vyhledávacího pole. Po nalezení a výběru definice zásady vyberte v dolní části stránky Dostupné definice.

    Snímek obrazovky s vyhledávacím filtrem při výběru definice zásady

  8. Verze se automaticky naplní nejnovější hlavní verzí definice a nastaví se tak, aby automaticky zajekly všechny nepřerušované změny. Verzi můžete změnit na ostatní, pokud jsou k dispozici nebo upravit nastavení ingestování, ale nevyžaduje se žádná změna. Přepsání jsou nepovinná, takže prozatím nechte prázdné.

  9. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte zdědit značku ze skupiny prostředků, pokud chybí. Volitelně můžete přidat také Popis. Popis obsahuje podrobnosti o tomto přiřazení zásady.

  10. Vynucování zásad ponechte povolené. Pokud je toto nastavení zakázané, umožňuje testování výsledku zásady bez aktivace efektu. Další informace najdete v režimu vynucení.

  11. Vyberte kartu Parametry v horní části průvodce.

  12. Jako název značky zadejte prostředí.

  13. V horní části průvodce vyberte kartu Náprava.

  14. Nechejte zaškrtnutou možnost Vytvořit úlohu nápravy. Toto pole umožňuje vytvořit úkol, který kromě nových nebo aktualizovaných zdrojů změní stávající zdroje. Další informace najdete v tématu Náprava prostředků.

  15. Vytvoření spravované identity se automaticky kontroluje, protože tato definice zásady používá účinek úpravy . Typ spravované identity je nastavený na přiřazený systém. Oprávnění se nastaví na přispěvatele automaticky na základě definice zásady. Další informace najdete v tématu spravované identity a jak funguje řízení přístupu k nápravě.

  16. V horní části průvodce vyberte kartu Zprávy nedodržování předpisů.

  17. Nastavte zprávu Nedodržování předpisů na Tento prostředek nemá požadovanou značku. Tato vlastní zpráva se zobrazí, když je prostředek během pravidelného vyhodnocení odepřen nebo pro nevyhovující prostředky.

  18. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit.

  19. Zkontrolujte výběry a pak vyberte Vytvořit v dolní části stránky.

Implementace nové vlastní zásady

Teď, když jste přiřadili předdefinovanou definici zásady, můžete se službou Azure Policy provádět další akce. Dále vytvořte novou vlastní zásadu, která šetří náklady tím, že ověří, že virtuální počítače vytvořené ve vašem prostředí nemůžou být v řadě G. Tímto způsobem se požadavek odepře pokaždé, když se uživatel ve vaší organizaci pokusí vytvořit virtuální počítač v řadě G.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice v části Authoring group

  2. V horní části stránky vyberte + Definice zásady. Toto tlačítko se otevře na stránce definice zásad.

  3. Zadejte následující údaje:

    • Skupina pro správu nebo předplatné, ve kterém je definice zásady uložená. Výběr proveďte pomocí tří teček v části Umístění definice.

      Poznámka:

      Pokud se chystáte tuto definici zásady použít pro více předplatných, umístěním musí být skupina pro správu obsahující předplatná, ke kterým zásadu přiřadíte. Totéž platí i pro definici iniciativy.

    • Název definice zásady – Vyžadování skladových položek virtuálních počítačů, které nejsou v řadě G

    • Popis toho, co má definice zásady dělat – tato definice zásady vynucuje, aby všechny virtuální počítače vytvořené v tomto oboru měly jiné skladové položky než G series, aby se snížily náklady.

    • Zvolte některou z existujících možností (například Compute) nebo pro tuto definici zásady vytvořte novou kategorii.

    • Zkopírujte následující kód JSON a pak v něm podle potřeby aktualizujte:

      • Parametry zásady.
      • Pravidla/podmínky zásad– v tomto případě – velikost skladové položky virtuálního počítače rovna řadě G
      • Účinek zásady, v tomto případě - Odepřít.

    Tady je ukázka kódu JSON. Vložte svůj upravený kód na web Azure Portal.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    Vlastnost pole v pravidle zásady musí být podporovaná hodnota. Úplný seznam hodnot najdete v polích struktury definice zásad. Příkladem aliasu může být "Microsoft.Compute/VirtualMachines/Size".

    Další ukázky azure Policy najdete v ukázkách služby Azure Policy.

  4. Zvolte Uložit.

Vytvoření definice zásady pomocí rozhraní REST API

Zásady můžete vytvořit pomocí rozhraní REST API pro definice služby Azure Policy. Toto rozhraní API umožňuje vytvářet a odstraňovat definice zásad a získávat informace o existujících definicích. Pokud chcete vytvořit definici zásady, použijte následující příklad:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Přiložte podobný text žádosti jako v následujícím příkladu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Vytvoření definice zásady pomocí PowerShellu

Než budete pokračovat v příkladu PowerShellu, ujistěte se, že jste nainstalovali nejnovější verzi modulu Az Azure PowerShellu.

Definici zásady můžete vytvořit pomocí rutiny New-AzPolicyDefinition.

Pokud chcete vytvořit definici zásady ze souboru, předejte cestu k souboru. Pro externí soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pro místní soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Výstup se ukládá v objektu $definition, který se používá při přiřazování zásady. Následující příklad vytvoří definici zásady zahrnující parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Zobrazení definic zásad pomocí PowerShellu

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

Get-AzPolicyDefinition

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Vytvoření definice zásady pomocí Azure CLI

Definici zásad můžete vytvořit pomocí Azure CLI pomocí az policy definition příkazu. Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Zobrazení definic zásad pomocí Azure CLI

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

az policy definition list

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "version": "1.0.0"
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Vytvoření a přiřazení definice iniciativy

Pomocí definice iniciativy můžete seskupit několik definic zásad za účelem dosažení jednoho zastřešujícího cíle. Iniciativa vyhodnocuje prostředky v rámci přiřazení pro dodržování předpisů zahrnutým zásadám. Další informace o definicích iniciativ najdete v tématu Přehled služby Azure Policy.

Vytvoření definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou Definice pod skupinou Vytváření obsahu

  2. Výběrem možnosti + Definice iniciativy v horní části stránky otevřete průvodce definicí iniciativy.

    Snímek obrazovky se stránkou definice iniciativy a vlastnostmi, které chcete nastavit

  3. Pomocí tří teček umístění iniciativy vyberte skupinu pro správu nebo předplatné pro uložení definice. Pokud byla předchozí stránka vymezena na jednu skupinu pro správu nebo předplatné, umístění iniciativy se vyplní automaticky.

  4. Zadejte Název a Popis iniciativy.

    Tento příklad ověří, že prostředky jsou v souladu s definicemi zásad, které se týkají zabezpečení. Pojmenujte iniciativu Zajištění zabezpečení a nastavte popis na: Tato iniciativa byla vytvořená za účelem zpracování všech definic zásad souvisejících se zabezpečením prostředků.

  5. V části Kategorie zvolte některou z existujících možností nebo vytvořte novou kategorii.

  6. Nastavte verzi iniciativy, například 1.0.

    Poznámka:

    Hodnota verze je výhradně metadata a není používána pro aktualizace ani žádný proces službou Azure Policy.

  7. V dolní části stránky nebo na kartě Zásady v horní části průvodce vyberte Další.

  8. Vyberte tlačítko Přidat definice zásad a projděte si seznam. Vyberte definice zásad, které chcete přidat do této iniciativy. Pro iniciativu Získat zabezpečení přidejte následující předdefinované definice zásad zaškrtnutím políčka vedle definice zásady:

    • Povolené lokality
    • Ochrana koncových bodů by měla být nainstalovaná na počítačích.
    • Virtuální počítače bez přístupu k internetu by se měly chránit pomocí skupin zabezpečení sítě
    • Pro virtuální počítače by měla být povolená služba Azure Backup.
    • Pro virtuální počítače by se mělo povolit šifrování disků
    • Přidání nebo nahrazení značky u prostředků (přidání této definice zásady dvakrát)

    Po výběru jednotlivých definic zásad ze seznamu vyberte Přidat v dolní části seznamu. Vzhledem k tomu, že se přidá dvakrát, získá každý z definic zásad prostředků značku Přidat nebo nahradit.

    Snímek obrazovky s vybranými definicemi zásad s referenčním ID a skupinou na stránce definice iniciativy

    Poznámka:

    Vybrané definice zásad je možné přidat do skupin výběrem jedné nebo více přidaných definic a výběrem možnosti Přidat vybrané zásady do skupiny. Skupina musí existovat nejprve a lze ji vytvořit na kartě Skupiny průvodce.

  9. Vyberte Další v dolní části stránky nebo na kartě Skupiny v horní části průvodce. Na této kartě je možné přidat nové skupiny. Pro účely tohoto kurzu nepřidáme žádné skupiny.

  10. Vyberte Další v dolní části stránky nebo na kartě Parametry iniciativy v horní části průvodce. Pokud bychom chtěli, aby v iniciativě existoval parametr pro předání jedné nebo více zahrnutých definic zásad, je zde definovaný parametr a pak se použije na kartě Parametry zásad. Pro účely tohoto kurzu nepřidáme žádné parametry iniciativy.

    Poznámka:

    Po uložení do definice iniciativy nelze parametry iniciativy z iniciativy odstranit. Pokud parametr iniciativy už není potřeba, odeberte ho z použití libovolnými parametry definice zásad.

  11. V dolní části stránky nebo na kartě Parametry zásad v horní části průvodce vyberte Další.

  12. Definice zásad přidané do iniciativy s parametry se zobrazují v mřížce. Typ hodnoty může být Výchozí hodnota, Nastavit hodnotu nebo Použít parametr iniciativy. Pokud je vybrána možnost Nastavit hodnotu, zadává se související hodnota v části Hodnoty. Pokud má parametr v definici zásady seznam povolených hodnot, je vstupní pole selektorem rozevíracího seznamu. Pokud je vybraná možnost Použít parametr iniciativy, zobrazí se rozevírací seznam s názvy parametrů iniciativy vytvořených na kartě Parametry iniciativy.

    Snímek obrazovky s možnostmi povolených hodnot pro parametr definice povolených umístění na kartě parametry zásad na stránce definice iniciativy

    Poznámka:

    U některých parametrů strongType není možné automaticky určit seznam hodnot. V těchto případech se napravo od řádku parametru zobrazí tři tečky. Výběrem se otevře stránka Obor parametru (<název> parametru). Na této stránce vyberte předplatné, které chcete použít k zadání možností hodnot. Tento obor parametru se používá pouze během vytváření definice iniciativy a nemá žádný vliv na vyhodnocování zásad ani na obor iniciativy po přiřazení.

    Nastavte typ hodnoty Povolené umístění na Nastavit hodnotu a v rozevíracím seznamu vyberte Usa – východ 2. Pro dvě instance add or replace a tag on resources policy definitions, set the Tag Name parameters to 'Env' and 'CostCenter' and the Tag Value parameters to 'Test' and 'Lab' as shown below. Ostatní nechte výchozí hodnotu. Pokud použijete stejnou definici dvakrát v iniciativě, ale s různými parametry, tato konfigurace přidá nebo nahradí značku Env hodnotou Test a značkou CostCenter s hodnotou Lab u prostředků v oboru přiřazení.

    Snímek obrazovky se zadanými možnostmi povolených hodnot pro parametr definice povolených umístění a hodnotami pro obě sady parametrů značek na kartě parametrů zásad na stránce definice iniciativy

  13. Vyberte Zkontrolovat a vytvořit v dolní části stránky nebo v horní části průvodce.

  14. Zkontrolujte nastavení a vyberte Vytvořit.

Vytvoření definice iniciativy zásad pomocí Azure CLI

Definici iniciativy zásad můžete vytvořit pomocí Azure CLI s příkazem az policy set-definition . Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásady, použijte následující příklad:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Vytvoření definice iniciativy zásad pomocí Azure PowerShellu

Definici iniciativy zásad můžete vytvořit pomocí Azure PowerShellu s rutinou New-AzPolicySetDefinition . Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásady, použijte následující soubor definice iniciativy zásad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Přiřazení definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

  2. Vyhledejte definici iniciativy Zajištění zabezpečení, kterou jste vytvořili dříve, a vyberte ji. V horní části stránky vyberte Přiřadit a otevřete stránku Zajištění zabezpečení: Přiřadit iniciativu.

    Snímek obrazovky s tlačítkem Přiřadit na stránce definice iniciativy

    Můžete také vybrat a podržet (nebo kliknout pravým tlačítkem) na vybraném řádku nebo vybrat tři tečky na konci řádku pro místní nabídku. Pak vyberte Přiřadit.

    Snímek obrazovky s místní nabídkou iniciativy pro výběr funkce Přiřadit

  3. Vyplňte stránku Zajištění zabezpečení: Přiřadit iniciativu zadáním následujících ukázkových údajů. Můžete použít vlastní údaje.

    • Obor: Skupina pro správu nebo předplatné, které jste uložili iniciativu, aby se stala výchozí. Obor můžete změnit tak, aby se iniciativa přiřadila k předplatnému nebo skupině prostředků v rámci uloženého umístění.
    • Vyloučení: Můžete nakonfigurovat jakékoli prostředky v rámci oboru, na které se nebude přiřazení iniciativy vztahovat.
    • Název definice a přiřazení iniciativy: Zajištění zabezpečení (předem se vyplní název přiřazované iniciativy).
    • Popis: Toto přiřazení iniciativy je přizpůsobené k vynucování této skupiny definic zásad.
    • Vynucování zásad: Ponechejte výchozí povoleno.
    • Přiřadil: Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadávat vlastní hodnoty.

  4. Vyberte kartu Parametry v horní části průvodce. Pokud jste v předchozích krocích nakonfigurovali parametr iniciativy, nastavte tady hodnotu.

  5. V horní části průvodce vyberte kartu Náprava. Políčko Vytvořit spravovanou identitu ponechte nezaškrtnuté. Toto políčko musí být zaškrtnuté, pokud přiřazená zásada nebo iniciativa obsahuje zásadu s deployIfNotExists nebo upravit efekty. Vzhledem k tomu, že zásada použitá pro tento kurz není, ponechte ji prázdnou. Další informace najdete v tématu spravované identity a jak funguje řízení přístupu k nápravě.

  6. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit.

  7. Zkontrolujte výběry a pak vyberte Vytvořit v dolní části stránky.

Kontrola počátečního dodržování předpisů

  1. Na levé straně stránky služby Azure Policy vyberte Dodržování předpisů.

  2. Vyhledejte iniciativu Získat zabezpečení . Pravděpodobně stále ve stavu Dodržování předpisů není spuštěno. Výběrem iniciativy získáte úplné podrobnosti o přiřazení.

    Snímek obrazovky se stránkou dodržování předpisů iniciativy zobrazující vyhodnocení přiřazení ve stavu Nespustilo se

  3. Po dokončení přiřazení iniciativy se na stránce Dodržování předpisů aktualizuje Stav dodržování předpisů na Vyhovuje.

    Snímek obrazovky se stránkou Dodržování předpisů iniciativy zobrazující dokončené vyhodnocení přiřazení a ve stavu Vyhovující předpisům

  4. Výběrem jakékoli zásady na stránce dodržování předpisů iniciativy se otevře stránka s podrobnostmi o dodržování předpisů pro danou zásadu. Tato stránka obsahuje podrobnosti o dodržování předpisů na úrovni prostředku.

Odebrání nevyhovujícího nebo odepřeného prostředku z oboru s vyloučením

Po přiřazení iniciativy zásad, která bude vyžadovat určité umístění, se všechny prostředky vytvořené v jiném umístění odepře. V této části si projdete řešení zamítnuté žádosti o vytvoření prostředku vytvořením vyloučení v jedné skupině prostředků. Vyloučení brání vynucování zásad (nebo iniciativy) u této skupiny prostředků. V následujícím příkladu je v vyloučené skupině prostředků povolené jakékoli umístění. Vyloučení se může vztahovat na předplatné, skupinu prostředků nebo jednotlivé prostředky.

Poznámka:

Výjimku ze zásad je také možné použít ke vynechání vyhodnocení prostředku. Další informace najdete v tématu Obor ve službě Azure Policy.

Nasazení zabráněná přiřazenou zásadou nebo iniciativou se dají zobrazit ve skupině prostředků, na kterou cílí nasazení: Na levé straně stránky vyberte Nasazení a pak vyberte název nasazení, u které selhalo nasazení. U zamítnutého prostředku je uvedený stav Zakázáno. Pokud chcete určit zásadu nebo iniciativu a přiřazení, které zdroj zamítly, vyberte Chyba. Kliknutím sem zobrazíte podrobnosti –> na stránce Přehled nasazení. Na pravé straně stránky se otevře okno s informacemi o chybě. V části Podrobnosti o chybě jsou identifikátory GUID souvisejících objektů zásad.

Snímek obrazovky s neúspěšným nasazením, které bylo zamítnuto přiřazením zásady

Na stránce Azure Policy: Na levé straně stránky vyberte Dodržování předpisů a vyberte iniciativu Získat zásady zabezpečení . Na této stránce je zvýšení počtu odepření blokovaných prostředků. Na kartě Události jsou podrobnosti o tom, kdo se pokusil vytvořit nebo nasadit prostředek, který byl odepřen definicí zásady.

Snímek obrazovky s kartou Události a podrobnostmi o události zásad na stránce Dodržování předpisů iniciativy

V tomto příkladu, Trent Baker, jeden ze specialistů na virtualizaci společnosti Contoso, prováděl požadovanou práci. Potřebujeme trentu udělit prostor pro výjimku. Vytvořte novou skupinu prostředků, UmístěníExcluded a potom jí udělte výjimku pro toto přiřazení zásad.

Aktualizace přiřazení o vyloučení

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Projděte si všechna přiřazení zásad a otevřete přiřazení získat zásady zabezpečení .

  3. Nastavte vyloučení tak, že vyberete tři tečky a vyberete skupinu prostředků, kterou chcete vyloučit, LocationsExcluded v tomto příkladu. Vyberte Přidat do vybraného oboru a pak vyberte Uložit.

    Snímek obrazovky s možností Vyloučení na stránce Přiřazení iniciativy pro přidání vyloučené skupiny prostředků do přiřazení zásad

    Poznámka:

    V závislosti na definici zásady a jejím účinku může být vyloučení uděleno také konkrétním prostředkům v rámci skupiny prostředků v rozsahu přiřazení. Vzhledem k tomu, že se v tomto kurzu použil efekt Zamítnutí, nemělo by smysl nastavit vyloučení pro konkrétní prostředek, který už existuje.

  4. Vyberte Zkontrolovat a uložit a pak vyberte Uložit.

V této části jste vyřešili žádost o odepření vytvořením vyloučení pro jednu skupinu prostředků.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujících kroků odstraňte všechna přiřazení zásad nebo definice vytvořené výše:

  1. V části Vytváření na levé straně stránky Azure Policy vyberte Definice (nebo Přiřazení, pokud se pokoušíte odstranit přiřazení).

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Přehled

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřadili jste zásadu vynucující podmínku u prostředků, které vytvoříte v budoucnu.
  • Vytvořili a přiřadili jste definici iniciativy pro sledování dodržování předpisů u několika prostředků.
  • Vyřešili jste problém s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem.
  • Implementovali jste novou zásadu v rámci celé organizace.

Další kroky

Další informace o strukturách definic zásad najdete v tomto článku:

Struktura definic Azure Policy