Megosztás a következőn keresztül:

Rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure CLI használatával

  • Cikk

Az Azure-ral való megfelelőség megértéséhez szükséges első lépés a saját erőforrásai állapotának megállapítása. Ebben a rövid útmutatóban egy szabályzat-hozzárendelést hoz létre, amely azonosítja a nem megfelelő erőforrásokat az Azure CLI használatával. A szabályzat egy erőforráscsoporthoz van rendelve, és naplóz egy felügyelt lemezt nem használó virtuális gépeket. A szabályzat-hozzárendelés létrehozása után azonosítja a nem megfelelő virtuális gépeket.

Az Azure CLI az Azure-erőforrások parancssorból vagy szkriptekkel történő létrehozására és kezelésére használható. Ez az útmutató az Azure CLI használatával hoz létre szabályzat-hozzárendelést az Azure környezetben lévő nem megfelelő erőforrások azonosításához.

Beépített szabályzat- vagy kezdeményezésdefiníciók hozzárendelésekor nem kötelező egy verzióra hivatkozni. A beépített definíciók házirend-hozzárendelései alapértelmezés szerint a legújabb verzióhoz lesznek hozzárendelve, és ha másként nincs megadva, automatikusan öröklik az alverzió módosításait.

Előfeltételek

  • Ha még nem rendelkezik Azure-fiókkal, első lépésként hozzon létre egy ingyenes fiókot.
  • Azure parancssori felület (CLI).
  • Visual Studio Code.
  • Microsoft.PolicyInsightsRegisztrálni kell az Azure-előfizetésében. Erőforrás-szolgáltató regisztrálásához engedéllyel kell rendelkeznie az erőforrás-szolgáltatók regisztrálásához. Ez az engedély szerepel a közreműködői és tulajdonosi szerepkörökben.
  • Legalább egy olyan virtuális géppel rendelkező erőforráscsoport, amely nem használ felügyelt lemezeket.

Csatlakozás az Azure szolgáltatáshoz

Egy Visual Studio Code-terminál munkamenetből csatlakozzon az Azure-hoz. Ha több előfizetéssel rendelkezik, futtassa a parancsokat az előfizetés környezetének beállításához. Cserélje le a <subscriptionID> értékét a saját Azure-előfizetése azonosítójára.

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Erőforrás-szolgáltató regisztrálása

Ha egy erőforrás-szolgáltató regisztrálva van, az elérhető az Azure-előfizetésben.

Annak ellenőrzéséhez, hogy regisztrálva van-e Microsoft.PolicyInsights , futtassa a következőt Get-AzResourceProvider: . Az erőforrás-szolgáltató számos erőforrástípust tartalmaz. Ha az eredmény NotRegistered fut Register-AzResourceProvider:

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Az Azure CLI-parancsok fordított perjelet (\) használnak a vonal folytatásához az olvashatóság javítása érdekében. További információ: az provider.

Szabályzat-hozzárendelés létrehozása

Az alábbi parancsokkal hozzon létre egy új szabályzat-hozzárendelést az erőforráscsoporthoz. Ez a példa egy meglévő erőforráscsoportot használ, amely felügyelt lemezek nélküli virtuális gépet tartalmaz. Az erőforráscsoport a szabályzat-hozzárendelés hatóköre. Ez a példa a felügyelt lemezeket nem használó beépített szabályzatdefiníciós naplózási virtuális gépeket használja.

Futtassa a következő parancsokat, és cserélje le <resourceGroupName> az erőforráscsoport nevére:

rgid=$(az group show --resource-group <resourceGroupName> --query id --output tsv)

definition=$(az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".name \
  --output tsv)

A rgid változó tárolja az erőforráscsoport azonosítóját. A definition változó tárolja a szabályzatdefiníció nevét, amely egy GUID.

Futtassa a következő parancsot a szabályzat-hozzárendelés létrehozásához:

az policy assignment create \
  --name 'audit-vm-managed-disks' \
  --display-name 'Audit VM managed disks' \
  --scope $rgid \
  --policy $definition \
  --description 'Azure CLI policy assignment to resource group'
  • name létrehozza a hozzárendelésben ResourceIdhasznált házirend-hozzárendelés nevét.
  • display-name a szabályzat-hozzárendelés neve, és látható az Azure Portalon.
  • scope a változó használatával $rgid rendeli hozzá a szabályzatot az erőforráscsoporthoz.
  • policy hozzárendeli a változóban tárolt szabályzatdefiníciót $definition .
  • description a szabályzat-hozzárendelés környezetének hozzáadására használható.

A szabályzat-hozzárendelés eredményei a következő példához hasonlítanak:

"description": "Azure CLI policy assignment to resource group",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-23T18:42:27.4780803Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",

Ha vissza szeretné adni a szabályzat-hozzárendelés adatait, futtassa a következő parancsot:

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

További információ: az policy assignment.

A nem megfelelő erőforrások azonosítása

Az új szabályzat-hozzárendelés megfelelőségi állapota néhány percet vesz igénybe, amíg aktívvá válik, és eredményeket ad a szabályzat állapotáról.

Az alábbi paranccsal azonosíthatja azokat az erőforrásokat, amelyek nem felelnek meg a létrehozott szabályzat-hozzárendelésnek:

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

A policyid változó kifejezéssel kéri le a szabályzat-hozzárendelés azonosítóját. A filter paraméter nem megfelelő erőforrásokra korlátozza a kimenetet.

A az policy state list kimenet részletes, de ebben a cikkben a következő látható complianceState NonCompliant:

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

További információ: az policy state.

Az erőforrások eltávolítása

A szabályzat-hozzárendelés eltávolításához futtassa a következő parancsot:

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Kijelentkezés az Azure CLI-munkamenetből:

az logout

Következő lépések

Ebben a rövid útmutatóban hozzárendelt egy szabályzatdefiníciót az Azure-környezetben megtalálható, nem megfelelő erőforrások azonosítása céljából.

Ha többet szeretne megtudni az erőforrás-megfelelőséget érvényesítő szabályzatok hozzárendeléséről, folytassa az oktatóanyagban.

Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítése céljából