Inicio rápido: creación de una asignación de directiva para identificar recursos no compatibles mediante Azure Portal

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. En este inicio rápido, creará una asignación de directiva para identificar recursos no compatibles mediante Azure Portal. La directiva se asigna a un grupo de recursos y audita las máquinas virtuales que no utilizan discos administrados. Después de crear la asignación de directiva, identifique las máquinas virtuales no compatibles.

Requisitos previos

  • Antes de comenzar, si no tiene una cuenta de Azure, cree una gratuita.
  • Un grupo de recursos con al menos una máquina virtual que no usa discos administrados.

Creación de una asignación de directiva

En este inicio rápido, creará una asignación de directiva con una definición de directiva integrada, Auditoría de máquinas virtuales que no usan discos administrados.

  1. Inicie sesión en Azure Portal.

  2. Busque la directiva y selecciónela en la lista.

    Screenshot of the Azure portal to search for policy.

  3. Seleccione Asignaciones en el panel Directiva.

    Screenshot of the Assignments pane that highlights the option to Assign policy.

  4. Seleccione Asignar directiva en el panel Asignaciones de directivas.

  5. En el panel Asignar directiva, en la pestaña Aspectos básicos, configure las siguientes opciones:

    Campo Action
    Ámbito Use los puntos suspensivos (...) y, a continuación, seleccione una suscripción y un grupo de recursos. A continuación, elija Seleccionar para aplicar el ámbito.
    Exclusiones Opcional y no se usa en este ejemplo.
    Definición de directiva Seleccione los puntos suspensivos para abrir la lista de definiciones disponibles.
    Definiciones disponibles Busque en la lista Definiciones de directiva la definición Auditoría de máquinas virtuales que no usan discos administrados, seleccione la directiva y seleccione Agregar.
    Nombre de asignación De manera predeterminada, usa el nombre de la directiva seleccionada. Puede cambiarlo, pero para este ejemplo, use el nombre predeterminado.
    Descripción Opcional para proporcionar detalles sobre esta asignación de directiva.
    Cumplimiento de directivas El valor predeterminado es Habilitado. Para obtener más información, vaya a modo de cumplimiento.
    Asignada por El valor predeterminado es quien ha iniciado sesión en Azure. Este campo es opcional y se pueden especificar valores personalizados.

    Screenshot of filtering the available definitions.

  6. Seleccione Siguiente para ver cada pestaña para Opciones avanzadas, Parámetros y Corrección. No se necesitan cambios para este ejemplo.

    Nombre de pestaña Opciones
    Avanzado Incluye opciones para selectores de recursos e invalidaciones.
    Parámetros Si la definición de directiva seleccionada en la pestaña Aspectos básicos incluía parámetros, se configuran en la pestaña Parámetros. En este ejemplo no se usan parámetros.
    Corrección Puede crear una entidad administrada. En este ejemplo, la opción Crear una identidad administrada está desactivada.

    Esta casilla se debe activar cuando una directiva o iniciativa incluyen una directiva con el efecto deployIfNotExists o modify. Para obtener más información, vaya a identidades administradas y cómo funciona el control de acceso de corrección.
  7. Seleccione Siguiente y, en la pestaña Mensajes de no cumplimiento, cree un Mensaje de no cumplimiento, como Las máquinas virtuales deben usar discos administrados.

    Este mensaje personalizado se muestra cuando se deniega un recurso o cuando hay recursos no compatibles durante la evaluación periódica.

  8. Seleccione Siguiente y, en la pestaña Revisar y crear, revise los detalles de la asignación de directivas.

  9. Seleccione Crear para crear la asignación de directiva.

Identificación de recursos sin compatibilidad

En el panel Directiva, seleccione Cumplimiento y busque la asignación de directivas Auditoría de máquinas virtuales que no usan discos administrados. El estado de cumplimiento de una nueva asignación de directiva tarda unos minutos en activarse y proporcionar resultados sobre el estado de la directiva.

Screenshot of the Policy Compliance that highlights the example's non-compliant policy assignment.

La asignación de directivas muestra los recursos que no son compatibles con un Estado de cumplimiento de No compatible. Para obtener más detalles, seleccione el nombre de la asignación de directivas para ver el Cumplimiento de recursos.

Si una condición se evalúa en todos los recursos existentes y el valor obtenido es true, estos recursos se marcarán como no compatibles con la directiva. En la tabla siguiente se muestra cómo funcionan los distintos efectos de directiva con la evaluación de condición para el estado de cumplimiento resultante. Aunque no se ve la lógica de evaluación en Azure Portal, se muestran los resultados del estado de cumplimiento. El resultado del estado de cumplimiento puede ser compatible o no compatible.

Estado del recurso Efecto Evaluación de directiva Estado de cumplimiento
Nueva o actualizada Audit, Modify, AuditIfNotExist True No compatible
Nueva o actualizada Audit, Modify, AuditIfNotExist False Compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True No compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Compatible

Los efectos DeployIfNotExist y AuditIfNotExist requieren que la instrucción IF sea TRUE y la condición de existencia sea FALSE para ser no compatibles. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.

Limpieza de recursos

Puede eliminar una asignación de directivas de Cumplimiento o de Asignaciones.

Para quitar la asignación de directivas creada en este artículo, siga estos pasos:

  1. En el panel Directiva, seleccione Cumplimiento y busque la asignación de directivas Auditoría de máquinas virtuales que no usan discos administrados.

  2. Seleccione los puntos suspensivos de la asignación de directivas y seleccione Eliminar asignación.

    Screenshot of the Compliance pane that highlights the menu to delete a policy assignment.

Pasos siguientes

En este inicio rápido, se asigna una definición de directiva para identificar los recursos incompatibles en el entorno de Azure.

Para obtener más información sobre cómo asignar directivas que validen el cumplimiento de los recursos, continúe con el tutorial.