Principy zásad
Použití zásad u prostředků pomocí služby Azure Policy zahrnuje následující základní kroky:
- Definici zásady Vytvoření definice zásady
- Přiřazení zásad. Přiřaďte definici k oboru prostředků.
- Náprava. Zkontrolujte výsledky vyhodnocení zásad a vyřešte případné nedodržování předpisů.
Definice zásady
Definice zásady určuje prostředky, které se mají vyhodnotit, a akce, které se mají provést. Můžete například zabránit nasazení virtuálních počítačů, pokud jsou vystavené veřejné IP adrese. Můžete také obsahovat konkrétní pevný disk pro nasazení virtuálních počítačů za účelem řízení nákladů. Zásady jsou definovány ve formátu JSON (JavaScript Object Notation).
Následující příklad definuje zásadu, která omezuje, kde můžete nasadit prostředky:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Následující seznam obsahuje ukázkové definice zásad:
- Povolené skladové položky účtu úložiště (Odepřít): Určuje, jestli je nasazený účet úložiště v rámci sady velikostí skladových položek. Jeho účinkem je zamítnout všechny účty úložiště, které nevyhovují sadě definovaných velikostí skladových položek.
- Povolený typ prostředku (Odepřít): Definuje typy prostředků, které můžete nasadit. Jejím účinkem je odepřít všechny prostředky, které nejsou součástí tohoto definovaného seznamu.
- Povolená umístění (Odepřít): Omezí dostupná umístění pro nové prostředky. Účinkem je vynucení vašich požadavků na geografické dodržování předpisů.
- Povolené skladové položky virtuálního počítače (Odepřít): Zadejte sadu skladových položek virtuálního počítače, které můžete nasadit.
- Přidání značky k prostředkům (Modify): Použije požadovanou značku a její výchozí hodnotu, pokud požadavek nasazení ho nezadá.
- Nepovolené typy prostředků (Odepřít): Zabrání nasazení seznamu typů prostředků.
Přiřazení zásady
Definice zásad, ať už vlastní, nebo předdefinované, je potřeba přiřadit.
Přiřazení zásady je definice zásady, která byla přiřazena ke konkrétnímu oboru. Obory můžou být v rozsahu od skupiny pro správu až po skupinu prostředků.
Podřízené prostředky zdědí všechna přiřazení zásad použitá na jejich nadřazené prvky.
To znamená, že pokud se zásada použije na skupinu prostředků, použije se pro všechny prostředky v této skupině prostředků.
Můžete ale definovat dílčí rozsahy pro vyloučení prostředků z přiřazení zásad.
Zásady můžete přiřazovat prostřednictvím:
- Azure Portal.
- Rozhraní příkazového řádku Azure.
- PowerShell.
Náprava
Prostředky, které se nedají použít k nasazeníIfNotExists nebo úpravě podmínky zásad, je možné prostřednictvím nápravy umístit do kompatibilního stavu.
Náprava dává službě Azure Policy pokyn, aby spustila účinek deployIfNotExists nebo operace značek zásad u existujících prostředků.
Pokud chcete minimalizovat posun konfigurace, můžete prostředky přenést do souladu s předpisy pomocí automatizované hromadné nápravy, a nemusíte je procházet po jednom.
Další informace o službě Azure Policy najdete na webové stránce služby Azure Policy .