Tutoriel : Créer une affectation de stratégie pour identifier les ressources non conformes

  • Article

La première étape pour comprendre la conformité dans Azure consiste à identifier l’état de vos ressources. Azure Policy prend en charge l’audit de l’état de votre serveur avec Azure Arc avec des stratégies de configuration d’invité. Les définitions de configuration d’invité d’Azure Policy peuvent vérifier ou appliquer des paramètres à l’intérieur de la machine.

Ce tutoriel vous guide tout au long du processus de création et d’affectation d’une stratégie, afin d’identifier les serveurs avec Azure Arc où l’agent Log Analytics pour Windows ou Linux n’est pas installé. Ces machines sont considérées comme non conformes à l’attribution de stratégie.

Dans ce didacticiel, vous apprendrez à :

  • Créer une attribution de stratégie et lui attribuer une définition
  • Identifier les ressources qui ne sont pas conformes à la nouvelle stratégie
  • Supprimer la stratégie des ressources non conformes

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une affectation de stratégie

Suivez les étapes suivantes pour créer une affectation de stratégie et affecter la définition de stratégie [Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Linux :

  1. Lancez le service Azure Policy dans le portail Azure en sélectionnant Tous les services, puis en recherchant et en cliquant sur Stratégie.

    Screenshot of All services window showing search for policy service.

  2. Sélectionnez Affectations du côté gauche de la page Azure Policy. Une affectation est une stratégie qui a été affectée pour être appliquée dans une étendue spécifique.

    Screenshot of All services Policy window showing policy assignments.

  3. Sélectionnez Assigner une stratégie en haut de la pageStratégie - Affectations.

  4. Dans la page Assigner une stratégie, sélectionnez l’étendue en cliquant sur les points de suspension et en sélectionnant un groupe d’administration ou un abonnement. Sélectionnez éventuellement un groupe de ressources. Une étendue détermine les ressources ou le regroupement de ressources sur lequel la stratégie est appliquée. Cliquez ensuite sur Sélectionner dans le bas de la page Étendue.

    Cet exemple utilise l’abonnement Parnell Aerospace. Votre abonnement sera différent.

  5. Vous pouvez exclure des ressources en fonction de l’étendue. Les exclusions commencent à un niveau inférieur à celui de l’étendue. Les exclusions étant facultatives, laissez ce champ vide pour l’instant.

  6. Sélectionnez les points de suspension de Définition de stratégie pour ouvrir la liste des définitions disponibles. Azure Policy est fourni avec des définitions de stratégie intégrées que vous pouvez utiliser. De nombreuses définitions de stratégie sont disponibles, par exemple :

    • Enforce tag and its value
    • Apply tag and its value
    • Hériter d’une étiquette du groupe de ressources en cas d’absence

    Pour obtenir une liste partielle des stratégies intégrées disponibles, consultez Exemples Azure Policy.

  7. Recherchez dans la liste des définitions de stratégie l’extension [Preview] : l’extension Log Analytics doit être installée sur la définition de vos machines Windows Azure Arc (si vous avez activé l'agent Azure Connected Machine sur une machine Windows). Pour un ordinateur Linux, recherchez la définition de stratégie correspondante [Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Linux. Cliquez sur cette stratégie et sélectionnez Ajouter.

  8. Le Nom de l’attribution est automatiquement rempli avec le nom de stratégie que vous avez sélectionné, mais vous pouvez le modifier. Pour cet exemple, laissez le nom de la stratégie tel quel et ne modifiez aucune des options restantes sur la page.

  9. Pour cet exemple, nous n’avons pas besoin de modifier les paramètres des autres onglets. Sélectionnez Vérifier + Créer pour passer en revue votre nouvelle attribution de stratégie, puis sélectionnez Créer.

Vous êtes maintenant prêt à identifier les ressources non conformes pour comprendre l’état de conformité de votre environnement.

Identifier des ressources non conformes

Sélectionnez Conformité dans la partie gauche de la page. Recherchez ensuite l’affectation de stratégie[Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Windows ou [Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Linux que vous avez créée.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Si des ressources existantes ne sont pas conformes à cette nouvelle affectation, elles apparaissent sous Ressources non conformes.

Si une condition est évaluée par rapport à vos ressources existantes et génère la valeur true, ces ressources sont marquées comme non conformes à la stratégie. Le tableau suivant montre comment les différents effets des stratégies fonctionnent avec l’évaluation des conditions pour l’état de conformité résultant. Même si vous ne voyez pas la logique d’évaluation dans le portail Azure, les résultats de l’état de conformité sont affichés. Le résultat d’état de conformité est soit conforme, soit non conforme.

État de la ressource Effet Évaluation de la stratégie État de conformité
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* True Non conforme
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* False Conforme
Nouveau Audit, AuditIfNotExist* True Non conforme
Nouveau Audit, AuditIfNotExist* False Conforme

* Les effets Append, DeployIfNotExist et AuditIfNotExist nécessitent que l’instruction IF ait la valeur TRUE. Les effets nécessitent également que la condition d’existence ait la valeur FALSE pour être non conformes. Lorsque la valeur est TRUE, la condition IF déclenche l’évaluation de la condition d’existence pour les ressources associées.

Nettoyer les ressources

Pour supprimer l’affectation créée, procédez comme suit :

  1. Sélectionnez Conformité (ou Affectations) sur le côté gauche de la page Azure Policy et recherchez l’affectation de stratégie [Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Windows ou [Préversion] : L’extension Log Analytics doit être installée sur vos machines Azure Arc Linux que vous avez créée.

  2. Cliquez avec le bouton droit sur l’affectation de stratégie, puis sélectionnez Supprimer l’attribution.

Étapes suivantes

Dans ce tutoriel, vous avez affecté une définition de stratégie à une étendue et vous avez évalué son rapport de conformité. La définition de stratégie permet de vérifier que toutes les ressources dans l’étendue sont conformes, ainsi que d’identifier celles qui ne le sont pas. Vous êtes maintenant prêt à superviser votre machine de serveur avec Azure Arc en activant les insights VM.

Pour savoir comment superviser et afficher les performances, les processus en cours d’exécution et leurs dépendances à partir de votre machine, passez au tutoriel :

Activer VM Insights