Configuration des groupes réseau avec Azure Policy dans Azure Virtual Network Manager

Dans cet article, vous découvrez comment Azure Policy est utilisé dans Azure Virtual Network Manager pour définir l’appartenance dynamique aux groupes de réseaux. Les groupes de réseau dynamiques vous permettent de créer des environnements de réseau virtuel évolutifs et dynamiques dans votre organisation.

Important

Azure Virtual Network Manager est généralement disponible pour les configurations de connectivité hub-and-spoke (en étoile) et les configurations de sécurité avec des règles d’administration pour la sécurité. Les configurations de connectivité de maillage restent en préversion publique.

Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Vue d’ensemble d’Azure Policy

Azure Policy évalue les ressources dans Azure en comparant les propriétés de ces ressources aux règles d’entreprise. Ces règles d’entreprise, décrites au format JSON, sont appelées définitions de stratégie. Une fois que vos règles d’entreprise sont formées, la définition de stratégie est affectée à n’importe quelle étendue de ressources prise en charge par Azure, comme des groupes d’administration, des abonnements, des groupes de ressources ou des ressources individuelles. L’affectation s’applique à toutes les ressources au sein de l’étendue Resource Manager de cette affectation. En savoir plus sur l’utilisation de l’étendue avec Étendue dans Azure Policy.

Remarque

Azure Policy est utilisé uniquement pour la définition de l’appartenance à un groupe de réseau dynamique.

Définition de stratégie de groupe réseau

Pour créer et implémenter une stratégie dans Azure Policy, il faut commencer par créer une ressource de définition de stratégie. Chaque définition de stratégie a des conditions de mise en application et un effet défini qui se produit si les conditions sont remplies.

Avec les groupes réseau, votre définition de stratégie inclut votre expression conditionnelle pour les réseaux virtuels correspondants répondant à vos critères et spécifie le groupe de réseaux de destination où toutes les ressources correspondantes sont placées. L’effet addToNetworkGroup est utilisé pour placer des ressources dans le groupe de réseau de destination. Voici un exemple de définition de règle de stratégie avec l’effet addToNetworkGroup. Pour toutes les stratégies personnalisées, la propriété mode est définie sur Microsoft.Network.Data pour cibler le fournisseur de ressources de groupe réseau et est nécessaire pour créer une définition de stratégie pour Azure Virtual Network Manager.

"mode": "Microsoft.Network.Data",
"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "Name",
            "contains": "-gen"
          }
        ]
      },
      "then": {
        "effect": "addToNetworkGroup",
        "details": {
          "networkGroupId": "/subscriptions/12345678-abcd-123a-1234-1234abcd7890/resourceGroups/myResourceGroup2/providers/Microsoft.Network/networkManagers/myAVNM/networkGroups/myNG"
        }
      }
}

Important

Lors de la définition d’une stratégie, le networkGroupId doit être l’ID de ressource complet du groupe réseau cible, comme indiqué dans la définition de l’exemple. Elle ne prend pas en charge le paramétrage dans la définition de stratégie. Si vous devez paramétriser le groupe réseau, vous pouvez utiliser un modèle Azure Resource Manager pour créer la définition et l’affectation de stratégie.

Quand Azure Policy est utilisé avec Azure Virtual Network Manager, la stratégie cible une propriété du fournisseur de ressources de Microsoft.Network.Data. Pour cette raison, vous devez spécifier un policyType de Custom dans votre définition de stratégie. Lorsque vous créez une stratégie pour ajouter dynamiquement des membres dans le Virtual Network Manager, cela est appliqué automatiquement lors de la création de la stratégie. Vous devez uniquement choisir custom lors de la création d’une définition de stratégie par le biais d’Azure Policy ou d’autres outils en dehors du tableau de bord Virtual Network Manager.

Voici un exemple de définition de stratégie avec la propriété policyType définie sur Custom.

"properties": {
      "displayName": "myProdAVNM",
      "policyType": "Custom",
      "mode": "Microsoft.Network.Data",
      "metadata": {
        "category": "Azure Virtual Network Manager",
        "createdBy": "-----------------------------",
        "createdOn": "2023-04-10T15:35:35.9308987Z",
        "updatedBy": null,
        "updatedOn": null
      }
}

En savoir plus sur la structure des définitions de stratégies.

Créer une affectation de stratégie

Comme pour les configurations du gestionnaire de réseau virtuel, les définitions de stratégie ne prennent pas effet immédiatement lorsque vous les créez. Pour commencer à appliquer, vous devez créer une stratégie Attribution, qui affecte une définition à évaluer à une étendue donnée. Actuellement, toutes les ressources de l’étendue sont évaluées par rapport à la définition, ce qui permet une définition réutilisable unique que vous pouvez affecter à plusieurs emplacements pour un contrôle d’appartenance de groupe plus granulaire. En savoir plus sur la structure d’affectation pour Azure Policy.

Les définitions et l’affectation de stratégie peuvent être créées via l’API/PS/CLI ou le portail Azure Policy.

Autorisations requises

Pour utiliser des groupes réseau avec Azure Policy, les utilisateurs ont besoin des autorisations suivantes :

• Microsoft.Authorization/policyassignments/Write et Microsoft.Authorization/policydefinitions/Write sont nécessaires au niveau de l’étendue que vous attribuez.
• l’action Microsoft.Network/networkManagers/networkGroups/join/action est nécessaire sur le groupe réseau cible référencé dans la section Ajouter au groupe réseau. Cette autorisation permet l’ajout et la suppression d’objets du groupe réseau cible.
• Lorsque vous utilisez des définitions de jeu pour affecter plusieurs stratégies en même temps, les autorisations Microsoft.Network/networkManagers/networkGroups/join/action simultanées sont nécessaires sur toutes les définitions affectées au moment de l’affectation.

Pour définir les autorisations nécessaires, des rôles intégrés avec contrôle d’accès en fonction du rôle peuvent être attribués aux utilisateurs :

• Rôle Contributeur de réseau au groupe réseau cible.
• Rôle Contributeur de stratégie de ressources au niveau de l’étendue cible.

Pour une attribution de rôle plus précise, vous pouvez créer des rôles personnalisés à l’aide des autorisations Microsoft.Network/networkManagers/networkGroups/join/action et policy/write.

Important

Pour modifier les groupes dynamiques AVNM, vous devez vous voir accorder l’accès via l’attribution de rôle RBAC Azure uniquement. L’autorisation classique Administrateur/héritée n’est pas prise en charge ; cela signifie que si votre compte a été affecté uniquement au rôle d’abonnement coadministrateur, vous ne disposez d’aucune autorisation sur les groupes dynamiques AVNM.

En plus des autorisations requises, vos abonnements et groupes d’administration doivent être inscrits auprès des fournisseurs de ressources suivants :

• Microsoft.Network est nécessaire pour créer des réseaux virtuels.
• Microsoft.PolicyInsights est nécessaire pour utiliser Azure Policy.

Pour enregistrer les fournisseurs nécessaires, utilisez Register-AzResourceProvider dans Azure PowerShell ou az provider register dans Azure CLI.

Conseils utiles

Filtrage de types

Lors de la configuration de vos définitions de stratégie, nous vous recommandons d’inclure une condition de type pour l’étendre aux réseaux virtuels. Cette condition permet à une stratégie de filtrer les opérations ne relevant pas du réseau virtuel et d’améliorer l’efficacité de vos ressources de stratégie.

Découpage régional

Les ressources de stratégie sont globales, ce qui signifie que toute modification prend effet sur toutes les ressources sous l’étendue d’affectation, quelle que soit la région. Si le découpage régional et le déploiement progressif vous préoccupent, nous vous recommandons d’inclure une condition where location in []. Ensuite, vous pouvez développer de façon incrémentielle la liste des emplacements pour déployer progressivement l’effet.

Étendue des affectations

Si vous suivez les meilleures pratiques de groupe d’administration à l’aide de groupes d’administration Azure, il est probable que vos ressources aient déjà été organisées dans une structure hiérarchique. À l’aide d’affectations, vous pouvez affecter la même définition à plusieurs étendues distinctes au sein de votre hiérarchie, ce qui vous permet d’avoir un contrôle de granularité plus élevé sur les ressources éligibles pour votre groupe réseau.

Suppression d’une définition Azure Policy associée à un groupe réseau

Vous pouvez rencontrer des instances où vous n’avez plus besoin d’une définition Azure Policy. C’est notamment le cas lorsqu’un groupe de réseaux associé à une politique est supprimé, ou lorsque vous avez une politique inutilisée dont vous n’avez plus besoin. Pour supprimer la stratégie, vous devez supprimer l’objet d’association de stratégie, puis supprimer la définition de stratégie dans Azure Policy. Une fois que la suppression est terminée, le nom de définition ne peut pas être utilisé ou référencé à nouveau lors de l’association d’une nouvelle définition à un groupe réseau.

Étapes suivantes

• Créez une instance Azure Virtual Network Manager.
• Découvrez les déploiements de configuration dans Azure Virtual Network Manager.
• Découvrez comment bloquer le trafic réseau avec une Configuration de l’administration de la sécurité.