Rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások ARM-sablonnal történő azonosításához

Cikk
07/10/2024

Ebben a rövid útmutatóban egy Azure Resource Manager-sablont (ARM-sablont) használ egy szabályzat-hozzárendelés létrehozásához, amely ellenőrzi, hogy az erőforrás megfelel-e egy Azure-szabályzatnak. A szabályzat egy erőforráscsoporthoz van rendelve, és naplóz egy felügyelt lemezt nem használó virtuális gépeket. A szabályzat-hozzárendelés létrehozása után azonosítja a nem megfelelő virtuális gépeket.

Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.

Ha a környezet megfelel az előfeltételeknek, és már ismeri az ARM-sablonokat, kattintson az Üzembe helyezés az Azure-ban gombra. A sablon megnyílik az Azure Portalon.

Beépített szabályzat- vagy kezdeményezésdefiníciók hozzárendelésekor nem kötelező egy verzióra hivatkozni. A beépített definíciók házirend-hozzárendelései alapértelmezés szerint a legújabb verzióhoz lesznek hozzárendelve, és ha másként nincs megadva, automatikusan öröklik az alverzió módosításait.

Előfeltételek

Ha még nem rendelkezik Azure-fiókkal, első lépésként hozzon létre egy ingyenes fiókot.
Azure PowerShell vagy Azure CLI.
A Visual Studio Code és az Azure Resource Manager (ARM) eszközei.
Microsoft.PolicyInsightsRegisztrálni kell az Azure-előfizetésében. Erőforrás-szolgáltató regisztrálásához engedéllyel kell rendelkeznie az erőforrás-szolgáltatók regisztrálásához. Ez az engedély szerepel a közreműködői és tulajdonosi szerepkörökben.
Legalább egy olyan virtuális géppel rendelkező erőforráscsoport, amely nem használ felügyelt lemezeket.

A sablon áttekintése

Az ARM-sablon létrehoz egy szabályzat-hozzárendelést egy erőforráscsoport-hatókörhöz, és hozzárendeli a felügyelt lemezeket nem használó beépített szabályzatdefiníciós naplózási virtuális gépeket.

Hozza létre a következő ARM-sablont policy-assignment.json.

Nyissa meg a Visual Studio Code-ot, és válassza az Új szövegfájl fájlja>lehetőséget.
Másolja és illessze be az ARM-sablont a Visual Studio Code-ba.
Válassza a Fájl>mentése lehetőséget, és használja a policy-assignment.json fájlnevet.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "audit-vm-managed-disks",
      "metadata": {
        "description": "Policy assignment name used in assignment's resource ID"
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "defaultValue": "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d",
      "metadata": {
        "description": "Policy definition ID"
      }
    },
    "policyDisplayName": {
      "type": "string",
      "defaultValue": "Audit VM managed disks",
      "metadata": {
        "description": "Display name for Azure portal"
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "apiVersion": "2023-04-01",
      "name": "[parameters('policyAssignmentName')]",
      "properties": {
        "policyDefinitionId": "[parameters('policyDefinitionID')]",
        "description": "Policy assignment to resource group scope created with ARM template",
        "displayName": "[parameters('policyDisplayName')]",
        "nonComplianceMessages": [
          {
            "message": "Virtual machines should use managed disks"
          }
        ]
      }
    }
  ],
  "outputs": {
    "assignmentId": {
      "type": "string",
      "value": "[resourceId('Microsoft.Authorization/policyAssignments', parameters('policyAssignmentName'))]"
    }
  }
}

Az ARM-sablonban definiált erőforrástípus a Microsoft.Authorization/policyAssignments.

A sablon három paramétert használ a szabályzat-hozzárendelés üzembe helyezéséhez:

policyAssignmentName létrehozza az audit-vm-managed-disks nevű szabályzat-hozzárendelést.
policyDefinitionID A beépített szabályzatdefiníció azonosítóját használja. Hivatkozásként az azonosító lekérésére szolgáló parancsok a sablon üzembe helyezésének szakaszában találhatók.
policyDisplayName az Azure Portalon látható megjelenítendő nevet hoz létre.

További információ az ARM-sablonfájlokról:

További ARM-sablonmintákat a Kódminták tallózása című témakörben talál.
Ha többet szeretne megtudni az üzembe helyezési sablonreferenciákról, tekintse meg az Azure-sablonreferenciát.
Az ARM-sablonok fejlesztésének megismeréséhez tekintse meg az ARM-sablon dokumentációját.
Az előfizetési szintű üzembe helyezésekkel kapcsolatos információkért nyissa meg az Előfizetések üzembe helyezését ARM-sablonokkal.

Az ARM-sablon üzembe helyezése

Az ARM-sablont az Azure PowerShell vagy az Azure CLI használatával helyezheti üzembe.

Egy Visual Studio Code-terminál munkamenetből csatlakozzon az Azure-hoz. Ha több előfizetéssel rendelkezik, futtassa a parancsokat az előfizetés környezetének beállításához. Cserélje le a <subscriptionID> értékét a saját Azure-előfizetése azonosítójára.

PowerShell
Azure CLI

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Ellenőrizheti, hogy regisztrálva van-e Microsoft.PolicyInsights . Ha nem, futtathat egy parancsot az erőforrás-szolgáltató regisztrálásához.

PowerShell
Azure CLI

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

További információ: Get-AzResourceProvider és Register-AzResourceProvider.

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Az Azure CLI-parancsok fordított perjelet (\) használnak a vonal folytatásához az olvashatóság javítása érdekében. További információ: az provider.

A következő parancsok a policyDefinitionID paraméter értékét jelenítik meg:

PowerShell
Azure CLI

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

Az alábbi parancsok üzembe helyezik a szabályzatdefiníciót az erőforráscsoportban. Cserélje le <resourceGroupName> az erőforráscsoport nevére:

PowerShell
Azure CLI

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.json'
}

New-AzResourceGroupDeployment @deployparms

A $rg változó az erőforráscsoport tulajdonságait tárolja. A $deployparms változó splatting használatával hozza létre a paraméterértékeket, és javítja az olvashatóságot. A New-AzResourceGroupDeployment parancs a változóban definiált $deployparms paraméterértékeket használja.

Name a kimenetben és az Azure-ban az erőforráscsoport üzemelő példányaihoz megjelenített üzembehelyezési név.
ResourceGroupName A tulajdonság használatával $rg.ResourceGroupName lekérheti annak az erőforráscsoportnak a nevét, amelyhez a szabályzat hozzá van rendelve.
TemplateFile megadja az ARM-sablon nevét és helyét a helyi számítógépen.

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.json

A rgname változó kifejezéssel lekéri az erőforráscsoport nevét az üzembe helyezési parancsban.

name a kimenetben és az Azure-ban az erőforráscsoport üzemelő példányaihoz megjelenített üzembehelyezési név.
resource-group annak az erőforráscsoportnak a neve, amelyhez a szabályzat hozzá van rendelve.
template-file megadja az ARM-sablon nevét és helyét a helyi számítógépen.

A szabályzat-hozzárendelés üzembe helyezését a következő paranccsal ellenőrizheti:

PowerShell
Azure CLI

A parancs a $rg.ResourceId tulajdonság használatával kéri le az erőforráscsoport azonosítóját.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

További információ: Get-AzPolicyAssignment.

A rgid változó kifejezéssel kéri le a szabályzat-hozzárendelés megjelenítéséhez használt erőforráscsoport azonosítóját.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

A kimenet részletes, de a következő példához hasonlít:

"description": "Policy assignment to resource group scope created with ARM template",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-26T19:01:23.2777972Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

További információ: az policy assignment.

A nem megfelelő erőforrások azonosítása

A szabályzat-hozzárendelés üzembe helyezése után az erőforráscsoportban üzembe helyezett virtuális gépeket a rendszer a felügyelt lemezházirendnek való megfelelés érdekében naplózja.

Az új szabályzat-hozzárendelés megfelelőségi állapota néhány percet vesz igénybe, amíg aktívvá válik, és eredményeket ad a szabályzat állapotáról.

PowerShell
Azure CLI

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

A $complianceparms változó a parancsban Get-AzPolicyState használt paraméterértékeket hozza létre.

ResourceGroupName lekéri az erőforráscsoport nevét a $rg.ResourceGroupName tulajdonságból.
PolicyAssignmentName A szabályzat-hozzárendelés létrehozásakor használt nevet adja meg.
Filter kifejezéssel megkeresi azokat az erőforrásokat, amelyek nem felelnek meg a szabályzat-hozzárendelésnek.

Az eredmények az alábbi példához hasonlítanak, és ComplianceState a következőket jelenítik meg NonCompliant:

Timestamp                : 2/26/2024 19:02:56
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

További információ: Get-AzPolicyState.

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

A policyid változó kifejezéssel kéri le a szabályzat-hozzárendelés azonosítóját. A filter paraméter nem megfelelő erőforrásokra korlátozza a kimenetet.

A az policy state list kimenet részletes, de ebben a cikkben az complianceState látható NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

További információ: az policy state.

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Kijelentkezés az Azure PowerShell-munkamenetből:

Disconnect-AzAccount

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Kijelentkezés az Azure CLI-munkamenetből:

az logout

Következő lépések

Ebben a rövid útmutatóban hozzárendelt egy szabályzatdefiníciót az Azure-környezetben megtalálható, nem megfelelő erőforrások azonosítása céljából.

Ha többet szeretne megtudni az erőforrás-megfelelőséget érvényesítő szabályzatok hozzárendeléséről, folytassa az oktatóanyagban.

Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítése céljából

Megosztás a következőn keresztül: