Comprendre les stratégies
L’application d’une stratégie à vos ressources avec Azure Policy implique les étapes principales suivantes :
- La définition de la stratégie. Créez une définition de stratégie.
- Attribution de stratégie. Affecter la définition à une étendue de ressources.
- Correction. Passez en revue les résultats de l’évaluation de la stratégie et corrigez les non-conformités.
Définition de stratégie
Une définition de stratégie spécifie les ressources à évaluer et les actions à effectuer sur celles-ci. Par exemple, vous pouvez empêcher le déploiement de machines virtuelles si elles sont exposées sur une adresse IP publique. Vous pouvez également empêcher un disque dur spécifique de déployer des machines virtuelles afin de contrôler les coûts. Les stratégies sont définies au format JSON (JavaScript Object Notation).
L’exemple suivant définit une stratégie qui limite l’emplacement où vous pouvez déployer des ressources :
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
La liste suivante répertorie des exemples de définitions de stratégie :
- Références SKU de compte de stockage autorisées (Refuser) : Détermine si un compte de stockage en cours de déploiement se trouve dans un ensemble de tailles de référence SKU. Son effet consiste à refuser tous les comptes de stockage dont la taille ne fait pas partie de l’ensemble de tailles de référence SKU définies.
- Type de ressource autorisé (Refuser) : Définit les types de ressources que vous pouvez déployer. Son effet consiste à refuser toutes les ressources qui ne font pas partie de cette liste définie.
- Emplacements autorisés (Refuser) : Restreint les emplacements disponibles pour les nouvelles ressources. Son effet permet d’appliquer vos exigences de conformité géographique.
- Références SKU de machine virtuelle autorisées (Refuser) : spécifiez un ensemble de références SKU de machine virtuelle que vous pouvez déployer.
- Ajouter une étiquette aux ressources (Modifier) : applique une étiquette requise et sa valeur par défaut si elle n’est pas spécifiée par la requête de déploiement.
- Types de ressources non autorisés (Refuser) : Empêche une liste de types de ressources d’être déployés.
Attribution de stratégie
Les définitions de stratégie, qu’elles soient personnalisées ou intégrées, doivent être assignées.
Une attribution de stratégie est une définition de stratégie affectée à une étendue spécifique. Cette étendue peut également aller d’un groupe d’administration à un groupe de ressources.
Les ressources enfants héritent des affectations de stratégie appliquées à leurs parents.
Ainsi, si une stratégie est appliquée à un groupe de ressources, elle l’est à toutes les ressources de ce groupe.
Toutefois, vous pouvez définir des sous-étendues pour exclure des ressources des affectations de stratégie.
Vous pouvez affecter des stratégies via :
- Portail Azure.
- Azure CLI.
- PowerShell.
Correction
Les ressources qui ne suivent pas un deployIfNotExists ou une condition de modification de stratégie peuvent être placées dans un état de conformité par le biais d’une mise à jour.
La Correction demande à Azure Policy d’exécuter l’effet deployIfNotExists ou les opérations de balise de la stratégie sur les ressources existantes.
Pour réduire la dérive de la configuration, vous pouvez mettre les ressources en conformité à l’aide d’une mise à jour en bloc automatisée au lieu de les passer un par un.
Pour plus d’informations sur Azure Policy, consultez la page Web Azure Policy .