Rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure CLI használatával
Az Azure-ral való megfelelőség megértéséhez szükséges első lépés a saját erőforrásai állapotának megállapítása. Ebben a rövid útmutatóban egy szabályzat-hozzárendelést hoz létre, amely azonosítja a nem megfelelő erőforrásokat az Azure CLI használatával. A szabályzat egy erőforráscsoporthoz van rendelve, és naplóz egy felügyelt lemezt nem használó virtuális gépeket. A szabályzat-hozzárendelés létrehozása után azonosítja a nem megfelelő virtuális gépeket.
Az Azure CLI az Azure-erőforrások parancssorból vagy szkriptekkel történő létrehozására és kezelésére használható. Ez az útmutató az Azure CLI használatával hoz létre szabályzat-hozzárendelést az Azure környezetben lévő nem megfelelő erőforrások azonosításához.
Előfeltételek
- Ha még nem rendelkezik Azure-fiókkal, első lépésként hozzon létre egy ingyenes fiókot.
- Azure parancssori felület (CLI).
- Visual Studio Code.
Microsoft.PolicyInsightsRegisztrálni kell az Azure-előfizetésében. Erőforrás-szolgáltató regisztrálásához engedéllyel kell rendelkeznie az erőforrás-szolgáltatók regisztrálásához. Ez az engedély szerepel a közreműködői és tulajdonosi szerepkörökben.- Legalább egy olyan virtuális géppel rendelkező erőforráscsoport, amely nem használ felügyelt lemezeket.
Csatlakozás az Azure szolgáltatáshoz
Egy Visual Studio Code-terminál munkamenetből csatlakozzon az Azure-hoz. Ha több előfizetéssel rendelkezik, futtassa a parancsokat az előfizetés környezetének beállításához. Cserélje le a <subscriptionID> értékét a saját Azure-előfizetése azonosítójára.
az login
# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>
Erőforrás-szolgáltató regisztrálása
Ha egy erőforrás-szolgáltató regisztrálva van, az elérhető az Azure-előfizetésben.
Annak ellenőrzéséhez, hogy regisztrálva van-e Microsoft.PolicyInsights , futtassa a következőt Get-AzResourceProvider: . Az erőforrás-szolgáltató számos erőforrástípust tartalmaz. Ha az eredmény NotRegistered fut Register-AzResourceProvider:
az provider show \
--namespace Microsoft.PolicyInsights \
--query "{Provider:namespace,State:registrationState}" \
--output table
az provider register --namespace Microsoft.PolicyInsights
Az Azure CLI-parancsok fordított perjelet (\) használnak a vonal folytatásához az olvashatóság javítása érdekében. További információ: az provider.
Szabályzat-hozzárendelés létrehozása
Az alábbi parancsokkal hozzon létre egy új szabályzat-hozzárendelést az erőforráscsoporthoz. Ez a példa egy meglévő erőforráscsoportot használ, amely felügyelt lemezek nélküli virtuális gépet tartalmaz. Az erőforráscsoport a szabályzat-hozzárendelés hatóköre. Ez a példa a felügyelt lemezeket nem használó beépített szabályzatdefiníciós naplózási virtuális gépeket használja.
Futtassa a következő parancsokat, és cserélje le <resourceGroupName> az erőforráscsoport nevére:
rgid=$(az group show --resource-group <resourceGroupName> --query id --output tsv)
definition=$(az policy definition list \
--query "[?displayName=='Audit VMs that do not use managed disks']".name \
--output tsv)
A rgid változó tárolja az erőforráscsoport azonosítóját. A definition változó tárolja a szabályzatdefiníció nevét, amely egy GUID.
Futtassa a következő parancsot a szabályzat-hozzárendelés létrehozásához:
az policy assignment create \
--name 'audit-vm-managed-disks' \
--display-name 'Audit VM managed disks' \
--scope $rgid \
--policy $definition \
--description 'Azure CLI policy assignment to resource group'
namelétrehozza a hozzárendelésbenResourceIdhasznált házirend-hozzárendelés nevét.display-namea szabályzat-hozzárendelés neve, és látható az Azure Portalon.scopea változó használatával$rgidrendeli hozzá a szabályzatot az erőforráscsoporthoz.policyhozzárendeli a változóban tárolt szabályzatdefiníciót$definition.descriptiona szabályzat-hozzárendelés környezetének hozzáadására használható.
A szabályzat-hozzárendelés eredményei a következő példához hasonlítanak:
"description": "Azure CLI policy assignment to resource group",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
"createdBy": "11111111-1111-1111-1111-111111111111",
"createdOn": "2024-02-23T18:42:27.4780803Z",
"updatedBy": null,
"updatedOn": null
},
"name": "audit-vm-managed-disks",
Ha vissza szeretné adni a szabályzat-hozzárendelés adatait, futtassa a következő parancsot:
az policy assignment show --name "audit-vm-managed-disks" --scope $rgid
További információ: az policy assignment.
A nem megfelelő erőforrások azonosítása
Az új szabályzat-hozzárendelés megfelelőségi állapota néhány percet vesz igénybe, amíg aktívvá válik, és eredményeket ad a szabályzat állapotáról.
Az alábbi paranccsal azonosíthatja azokat az erőforrásokat, amelyek nem felelnek meg a létrehozott szabályzat-hozzárendelésnek:
policyid=$(az policy assignment show \
--name "audit-vm-managed-disks" \
--scope $rgid \
--query id \
--output tsv)
az policy state list --resource $policyid --filter "(isCompliant eq false)"
A policyid változó kifejezéssel kéri le a szabályzat-hozzárendelés azonosítóját. A filter paraméter nem megfelelő erőforrásokra korlátozza a kimenetet.
A az policy state list kimenet részletes, de ebben a cikkben a következő látható complianceStateNonCompliant:
"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,
További információ: az policy state.
Az erőforrások eltávolítása
A szabályzat-hozzárendelés eltávolításához futtassa a következő parancsot:
az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid
Kijelentkezés az Azure CLI-munkamenetből:
az logout
Következő lépések
Ebben a rövid útmutatóban hozzárendelt egy szabályzatdefiníciót az Azure-környezetben megtalálható, nem megfelelő erőforrások azonosítása céljából.
Ha többet szeretne megtudni az erőforrás-megfelelőséget érvényesítő szabályzatok hozzárendeléséről, folytassa az oktatóanyagban.