Mi az Azure Policy?

Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőségi követelmények nagy léptékű kiértékelésében. A megfelelőségi irányítópulton keresztül egy összesített nézetet biztosít a környezet általános állapotának kiértékeléséhez, amely lehetővé teszi az erőforrások és szabályzatok szintjén történő részletes elemzést is. Ezenfelül segít biztosítani az erőforrások megfelelőségét a meglévő erőforrások tömeges, illetve az új erőforrások automatikus szervizelésével.

Megjegyzés

További információ a szervizelésről: Nem megfelelő erőforrások szervizelése Azure Policy.

Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Ezeknek a gyakori felhasználási eseteknek a szabályzatdefiníciói már elérhetők beépített modulokként az Azure-környezetben, segítséget nyújtva a munka megkezdéséhez.

Konkrétan néhány hasznos szabályozási művelet, amelyeket Azure Policy kényszeríthet ki:

• Annak biztosítása, hogy a csapat csak az engedélyezett régiókban helyezze üzembe az Azure-erőforrásokat
• A taxonomikus címkék konzisztens alkalmazásának kényszerítése
• Erőforrások megkövetelése diagnosztikai naplók Log Analytics-munkaterületre való küldéséhez

Fontos felismerni, hogy az Azure Arc bevezetésével kiterjesztheti a szabályzatalapú szabályozást a különböző felhőszolgáltatókra és akár a helyi adatközpontokra is.

Az összes Azure Policy adat és objektum titkosítva van. További információ: Inaktív Azure-adattitkosítás.

Áttekintés

Azure Policy kiértékeli az Azure-beli erőforrásokat és műveleteket az erőforrások tulajdonságainak üzleti szabályokkal való összehasonlításával. Ezeket a JSON formátumban leírt üzleti szabályokat szabályzatdefinícióknak nevezzük. A felügyelet egyszerűsítése érdekében számos üzleti szabály csoportosítható egy szabályzatkezdeményezési kezdeményezés (más néven policySet) létrehozásához. Az üzleti szabályok létrehozása után a szabályzatdefiníció vagy a kezdeményezés az Azure által támogatott erőforrások hatóköréhez lesz hozzárendelve , például felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz vagy egyéni erőforrásokhoz. A hozzárendelés a hozzárendelés Resource Manager hatókörén belüli összes erőforrásra vonatkozik. Az alhatókörök szükség esetén kizárhatók. További információ: Hatókör Azure Policy.

Azure Policy JSON-formátummal alkotja meg azt a logikát, amelyet a kiértékelés használ annak meghatározására, hogy egy erőforrás megfelelő-e vagy sem. A definíciók közé tartoznak a metaadatok és a szabályzatszabály. A definiált szabály függvényeket, paramétereket, logikai operátorokat, feltételeket és tulajdonságaliasokat használhat a kívánt forgatókönyvnek megfelelően. A szabályzatszabály határozza meg, hogy a hozzárendelés hatókörében mely erőforrások lesznek kiértékelve.

A kiértékelési eredmények ismertetése

Az erőforrások kiértékelése meghatározott időpontokban történik az erőforrás életciklusa, a szabályzat-hozzárendelés életciklusa és a folyamatos megfelelőség rendszeres kiértékelése során. Az erőforrások kiértékelését az alábbi időpontok vagy események okozzák:

• A rendszer létrehoz vagy frissít egy erőforrást egy szabályzat-hozzárendeléssel rendelkező hatókörben.
• Egy szabályzat vagy kezdeményezés újonnan van hozzárendelve egy hatókörhöz.
• Frissül egy hatókörhöz már hozzárendelt szabályzat vagy kezdeményezés.
• A standard megfelelőségi értékelési ciklus során, amely 24 óránként egyszer fordul elő.

A szabályzatértékelés időpontjával és módjával kapcsolatos részletes információkért lásd: Kiértékelési eseményindítók.

Értékelésre adott válasz szabályozása

A nem megfelelő erőforrások kezelésére vonatkozó üzleti szabályok nagyban eltérnek a szervezetek között. Példák arra, hogy egy szervezet hogyan szeretné, ha a platform reagálni szeretne egy nem megfelelő erőforrásra:

• Az erőforrás-módosítás megtagadása
• Az erőforrás módosításának naplózása
• Az erőforrás módosítása a módosítás előtt
• Az erőforrás módosítása a módosítás után
• Kapcsolódó megfelelő erőforrások üzembe helyezése
• Erőforrásokon végzett műveletek blokkolása

Azure Policy lehetővé teszi az egyes üzleti válaszokat a hatások alkalmazásával. A effektusok a szabályzatdefiníciószabályzatszabály-részében vannak beállítva.

Nem megfelelő erőforrások szervizelése

Bár ezek a hatások elsősorban az erőforrásokat érintik az erőforrás létrehozásakor vagy frissítésekor, Azure Policy a meglévő nem megfelelő erőforrások kezelését is támogatja anélkül, hogy módosítania kellene az erőforrást. További információ a meglévő erőforrások megfelelővé tételéről: Erőforrások szervizelése.

Videó – áttekintés

Az Azure Policy alábbi áttekintése a 2018-as buildből származik. Diák vagy videók letöltéséhez tekintse meg az Azure-környezet szabályozása Azure Policy a Channel 9-en című témakört.

Első lépések

Azure Policy és Azure RBAC

A Azure Policy és az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) között néhány fő különbség van. Azure Policy kiértékeli az állapotot az egyes erőforrás-szolgáltatók Resource Manager és tulajdonságaiban szereplő erőforrások tulajdonságainak vizsgálatával. Azure Policy biztosítja, hogy az erőforrás-állapot megfeleljen az üzleti szabályoknak, és ne törődjön azzal, hogy ki hajtotta végre a módosítást, vagy kinek van engedélye a módosításra. Azure Policy DenyAction effektussal bizonyos műveletek is blokkolhatók az erőforrásokon. Egyes Azure Policy erőforrások, például szabályzatdefiníciók, kezdeményezési definíciók és hozzárendelések minden felhasználó számára láthatók. Ez a kialakítás lehetővé teszi az összes felhasználó és szolgáltatás számára, hogy milyen szabályzatszabályok legyenek beállítva a környezetükben.

Az Azure RBAC a felhasználói műveletek különböző hatókörökben történő kezelésére összpontosít. Ha felhasználói adatok alapján szükséges egy művelet vezérlése, akkor az Azure RBAC a megfelelő eszköz. Még akkor is, ha egy személynek hozzáférése van egy művelet végrehajtásához, ha az eredmény nem megfelelő erőforrás, Azure Policy továbbra is letiltja a létrehozást vagy a frissítést.

Az Azure RBAC és a Azure Policy kombinációja teljes körű hatókör-vezérlést biztosít az Azure-ban.

Azure RBAC-engedélyek Azure Policy

Az Azure Policy több engedéllyel (más néven művelettel) rendelkezik két erőforrás-szolgáltatóban:

• Microsoft.Authorization
• Microsoft.PolicyInsights

Számos beépített szerepkör engedélyezi Azure Policy erőforrásokat. Az Erőforrásházirend-közreműködő szerepkör a legtöbb Azure Policy műveletet tartalmazza. A tulajdonosnak teljes jogokkal kell rendelkeznie. A Közreműködő és az Olvasó is hozzáfér az összes olvasási Azure Policy művelethez.

A közreműködő elindíthatja az erőforrások szervizelését, de nem hozhat létre és nem frissíthet definíciókat és hozzárendeléseket. A felhasználói hozzáférés rendszergazdájának meg kell adnia a felügyelt identitást a deployIfNotExists webhelyen , vagy módosítania kell a hozzárendelésekhez szükséges engedélyeket.

Megjegyzés

Minden szabályzatobjektum, beleértve a definíciókat, a kezdeményezéseket és a hozzárendeléseket is, a hatókörében lévő összes szerepkör számára olvasható lesz. Egy Azure-előfizetésre vonatkozó szabályzat-hozzárendelést például az előfizetés hatókörében lévő összes szerepkör-tulajdonos felolvassa.

Ha egyik beépített szerepkör sem rendelkezik a szükséges engedélyekkel, hozzon létre egy egyéni szerepkört.

Azure Policy műveletek jelentős hatással lehetnek az Azure-környezetre. Csak a feladat végrehajtásához szükséges minimális engedélyeket kell hozzárendelni, és ezeket az engedélyeket nem szabad megadni azoknak a felhasználóknak, akiknek nincs szükségük rájuk.

Megjegyzés

A deployIfNotExists vagy a modify szabályzat-hozzárendelés felügyelt identitásának elegendő engedélyre van szüksége a célzott erőforrások létrehozásához vagy frissítéséhez. További információ: Szabályzatdefiníciók konfigurálása szervizeléshez.

Az Azure Virtual Network Managerrel való Azure Policy speciális engedélykövetelménye (előzetes verzió)

Az Azure Virtual Network Manager (előzetes verzió) lehetővé teszi, hogy egységes felügyeleti és biztonsági szabályzatokat alkalmazzon több Azure-beli virtuális hálózatra (VNetre) a felhőinfrastruktúrában. Az Azure Virtual Network Manager (AVNM) dinamikus csoportjai Azure Policy definíciókkal értékelik ki a virtuális hálózatok tagságát ezekben a csoportokban.

Az Azure Virtual Network Manager dinamikus csoportházirendjeinek létrehozásához, szerkesztéséhez vagy törléséhez a következőkre van szükség:

• Azure RBAC-engedélyek olvasása és írása a mögöttes szabályzathoz
• Azure RBAC-engedélyek a hálózati csoporthoz való csatlakozáshoz (Megjegyzés: A klasszikus Rendszergazda engedélyezés nem támogatott)

Pontosabban a szükséges erőforrás-szolgáltatói engedély a következő Microsoft.Network/networkManagers/networkGroups/join/action: .

Fontos

Az AVNM dinamikus csoportjainak módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott; ez azt jelenti, hogy ha a fiókjához csak a társadminisztrátori előfizetési szerepkör lett hozzárendelve, akkor nem rendelkezik engedélyekkel az AVNM dinamikus csoportjaihoz.

A Azure Policy által lefedett erőforrások

Azure Policy kiértékeli az összes Azure-erőforrást az előfizetés szintjén vagy az alatt, beleértve az Arc-kompatibilis erőforrásokat is. Bizonyos erőforrás-szolgáltatók, például a gépkonfiguráció, a Azure Kubernetes Service és az Azure Key Vault esetében mélyebb integráció érhető el a beállítások és objektumok kezeléséhez. További információ: Erőforrás-szolgáltatói módok.

Javaslatok a szabályzatok kezeléséhez

Az alábbiakban néhány tippet és tippet talál, amelyeket szem előtt kell tartania:

• audit A szabályzatdefiníciónak a környezet erőforrásaira gyakorolt hatásának nyomon követéséhez kezdjen egy vagy auditIfNotExist effektussal a kényszerítési (deny, modify, deployIfNotExist) effektus helyett. Ha már rendelkezik szkriptekkel az alkalmazások automatikus skálázásához, a kényszerítési hatás beállítása akadályozhatja az ilyen automatizálási feladatokat.

• A definíciók és hozzárendelések létrehozásakor vegye figyelembe a szervezeti hierarchiákat. Javasoljuk, hogy hozzon létre definíciókat magasabb szinteken, például a felügyeleti csoport vagy az előfizetés szintjén. Ezután hozza létre a hozzárendelést a következő gyermekszinten. Ha létrehoz egy definíciót egy felügyeleti csoportban, a hozzárendelés hatóköre az adott felügyeleti csoporton belüli előfizetésre vagy erőforráscsoportra terjedhet ki.

• Javasoljuk, hogy hozzon létre és rendeljen hozzá kezdeményezésdefiníciókat még egyetlen szabályzatdefinícióhoz is. Rendelkezik például a policy definition policyDefA szabályzattal, és hozza létre az initiative definition initiativeDefC alatt. Ha később egy másik szabályzatdefiníciót hoz létre a policyDefB számára a policyDefA-hoz hasonló célokkal, felveheti az initiativeDefC területen, és nyomon követheti őket együtt.

  • Miután létrehozott egy kezdeményezés-hozzárendelést, a kezdeményezéshez hozzáadott szabályzatdefiníciók is a kezdeményezés hozzárendeléseinek részévé válnak.

  • A kezdeményezés-hozzárendelés kiértékelésekor a rendszer a kezdeményezésen belüli összes szabályzatot is kiértékeli. Ha egyénileg kell kiértékelnie egy szabályzatot, jobb, ha nem foglalja bele egy kezdeményezésbe.

• A szabályzatdefiníciók, kezdeményezések és hozzárendelések módosításainak manuális áttekintésével Azure Policy erőforrásokat kódként kezelheti. A javasolt mintákról és eszközökről a Tervezési Azure Policy kód-munkafolyamatként című témakörben olvashat bővebben.

Azure Policy objektumok

Szabályzatdefiníció

Az Azure Policyban a szabályzatok létrehozásának és bevezetésének folyamata egy szabályzatdefiníció létrehozásával kezdődik. Mindegyik szabályzatdefiníció feltételekkel rendelkezik, amelyek teljesülése esetén életbe lép. És van egy meghatározott hatása, amely akkor történik, ha a feltételek teljesülnek.

A Azure Policy számos beépített szabályzatot kínálunk, amelyek alapértelmezés szerint elérhetők. Például:

• Engedélyezett tárfiók-termékváltozatok (megtagadás): Azt határozza meg, hogy az üzembe helyezett tárfiók termékváltozat-méretekben van-e. Ennek az a hatása, hogy megtagadja az összes olyan tárfiókot, amely nem felel meg a meghatározott termékváltozat-méretek halmazának.
• Engedélyezett erőforrástípus (megtagadás): Meghatározza az üzembe helyezhető erőforrástípusokat. Ennek az a hatása, hogy megtagadja az összes olyan erőforrást, amely nem része ennek a definiált listának.
• Engedélyezett helyek (megtagadás): Korlátozza az új erőforrásokhoz elérhető helyeket. Biztosítja a földrajzi megfelelőségi követelmények betartását.
• Engedélyezett virtuálisgép-termékváltozatok (megtagadás): A virtuálisgép-termékváltozatok halmazát adja meg, amelyeket üzembe helyezhet.
• Címke hozzáadása az erőforrásokhoz (Módosítás): A szükséges címkét és annak alapértelmezett értékét alkalmazza, ha az üzembe helyezési kérelem nem határozza meg.
• Nem engedélyezett erőforrástípusok (Megtagadás): Megakadályozza az erőforrástípusok listájának üzembe helyezését.

A szabályzatdefiníciók (beépített és egyéni definíciók) implementálásához ki kell osztania őket. Ezen szabályzatok bármelyike hozzárendelhető az Azure Portalon, a PowerShellben vagy az Azure CLI-n.

A szabályzatok kiértékelése számos különböző művelettel történik, például szabályzat-hozzárendeléssel vagy szabályzatfrissítésekkel. A teljes listát a Szabályzat-kiértékelési eseményindítók című témakörben találja.

További, a szabályzatdefiníciók szerkezetéről szóló információkért lásd a szabályzatdefiníciók szerkezetével foglalkozó témakört.

A szabályzatparaméterek leegyszerűsítik a szabályzatok kezelését, mert csökkentik a létrehozandó szabályzatdefiníciók számát. A szabályzatdefiníciók létrehozásakor megadhat paramétereket, amelyek általánosabb érvényűvé teszik a definíciót. Ezután az adott szabályzatdefiníciót különböző helyzetekben újra felhasználhatja, ha a szabályzatdefiníció hozzárendelésekor más és más értékeket ad meg. Megadhat például egy adott helykészletet egy előfizetéshez.

A paraméterek a szabályzatdefiníciók létrehozásakor vannak definiálva. A paraméterek a definiálásukkor kapnak egy nevet és esetleg egy értéket is. Például megadhat egy paramétert egy hely nevű szabályzathoz. Ezután a szabályzat hozzárendelésekor különböző értékeket adhat meg a paraméterhez, például EastUS vagy WestUS.

További információ a szabályzatparaméterekről: Definícióstruktúra – Paraméterek.

Kezdeményezési definíció

A kezdeményezésdefiníciók olyan szabályzatdefiníciók gyűjteményei, amelyek egy egyedi, átfogó cél elérésére vannak szabva. A kezdeményezési definíciók egyszerűbbé teszik a szabályzatdefiníciók kezelését és hozzárendelését. Ehhez azzal járulnak hozzá, hogy több szabályzatot egyetlen elembe csoportosítanak. Létrehozhat például egy kezdeményezést a Figyelés engedélyezése a felhőhöz Microsoft Defender címmel, amelynek célja a felhőpéldányhoz készült Microsoft Defender összes elérhető biztonsági javaslatának monitorozása.

Megjegyzés

Az SDK, például az Azure CLI és a Azure PowerShell a PolicySet nevű tulajdonságokat és paramétereket használja a kezdeményezésekre való hivatkozáshoz.

Egy ilyen kezdeményezés a következő szabályzatdefiníciókat tartalmazhatja:

• Titkosítatlan SQL Database monitorozása a felhőhöz készült Microsoft Defender - Titkosítatlan SQL-adatbázisok és -kiszolgálók monitorozásához.
• Operációsrendszer-biztonsági rések monitorozása Microsoft Defender a felhőhöz – Olyan figyelési kiszolgálók esetében, amelyek nem felelnek meg a konfigurált alapkonfigurációnak.
• Hiányzó Endpoint Protection monitorozása Microsoft Defender a felhőhöz – Telepített végpontvédelmi ügynök nélküli monitorozási kiszolgálók esetén.

A szabályzatparaméterekhez hasonlóan a kezdeményezési paraméterek is a redundancia csökkentésével egyszerűsítik a kezdeményezések kezelését. A kezdeményezési paraméterek olyan paraméterek, amelyeket a kezdeményezésen belüli szabályzatdefiníciók használnak.

Vegyünk példának egy olyan helyzetet, ahol egy kezdeményezési definícióhoz (C kezdeményezés) az A szabályzat és a B szabályzat szabályzatdefiníció tartozik, amelyek mindketten különböző típusú paramétert várnak:

Szabályzat	Paraméter neve	Paraméter típusa	Megjegyzés
A szabályzat	allowedLocations	array	Ez a paraméter sztringek listáját várja értékként, mivel a paraméter típusa tömbként lett megadva
B szabályzat	allowedSingleLocation	sztring	Ez a paraméter egy szót vár értékként, mivel a paraméter típusa sztringként lett megadva

Ebben a forgatókönyvben három lehetőség van a C kezdeményezés kezdeményezési paramétereinek megadására:

• A kezdeményezésen belüli szabályzatdefiníciók paramétereinek használata. Ebben az esetben az allowedLocations és az allowedSingleLocation lesz a C kezdeményezés kezdeményezési paramétere.
• Értékek megadása a kezdeményezési definíción belüli szabályzatdefiníciók paramétereihez. Ebben a példában megadhat egy helyet a policyA paraméterének – az allowedLocations és a policyB paraméterének – az allowedSingleLocation paraméternek. Az értékeket az adott kezdeményezés hozzárendelésekor is megadhatja.
• Adjon meg egy listát mindazon lehetséges értékekről, amelyeket használhat a kezdeményezés hozzárendelésekor. A kezdeményezés hozzárendelésekor a kezdeményezésen belüli szabályzatdefiníciók örökölt paraméterei csak olyan értékekkel rendelkezhetnek, amelyek ebben a listában szerepelnek.

Amikor értékbeállításokat hoz létre egy kezdeményezésdefinícióban, nem tud más értéket megadni a kezdeményezés hozzárendelése során, mert az nem része a listának.

A kezdeményezésdefiníciók struktúrájáról a Kezdeményezésdefiníciós struktúra című témakörben olvashat bővebben.

Hozzárendelések

A hozzárendelés egy adott hatókörhöz rendelt szabályzatdefiníció vagy kezdeményezés. Ez a hatókör egy felügyeleti csoporttól egy adott erőforrásig terjedhet. A hatókör kifejezés az összes erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra vonatkozik, amelyhez a definíció hozzá van rendelve. A hozzárendeléseket az összes gyermekerőforrás örökli. Ez a kialakítás azt jelenti, hogy az erőforráscsoportra alkalmazott definíció az adott erőforráscsoport erőforrásaira is vonatkozik. Azonban kizárhat egy alhatókört a hozzárendelésből.

Az előfizetés hatókörében például hozzárendelhet egy definíciót, amely megakadályozza a hálózati erőforrások létrehozását. Kizárhat egy erőforráscsoportot az előfizetésből, amely hálózati infrastruktúrára szolgál. Ezután hozzáférést ad ehhez a hálózati erőforráscsoporthoz azokhoz a felhasználókhoz, amelyekben megbízik a hálózati erőforrások létrehozásával.

Egy másik példában érdemes lehet hozzárendelni egy erőforrástípus-engedélyezésilista-definíciót a felügyeleti csoport szintjén. Ezután egy megengedőbb szabályzatot rendel hozzá (több erőforrástípust engedélyezve) egy gyermekfelügyeleti csoporthoz vagy akár közvetlenül az előfizetésekhez. Ez a példa azonban nem működne, mert Azure Policy egy explicit megtagadási rendszer. Ehelyett ki kell zárnia a gyermekfelügyeleti csoportot vagy -előfizetést a felügyeleti csoportszintű hozzárendelésből. Ezután rendelje hozzá a megengedőbb definíciót a gyermekfelügyeleti csoporthoz vagy az előfizetési szinthez. Ha bármely hozzárendelés egy erőforrás megtagadását eredményezi, akkor az erőforrás csak úgy engedélyezhető, ha módosítja a megtagadási hozzárendelést.

A szabályzat-hozzárendelések mindig a hozzárendelt definíció vagy kezdeményezés legújabb állapotát használják az erőforrások kiértékelésekor. Ha egy már hozzárendelt szabályzatdefiníció módosul, a definíció összes meglévő hozzárendelése a frissített logikát fogja használni az értékelés során.

A hozzárendelések portálon keresztüli beállításával kapcsolatos további információkért lásd: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure-környezetben. A PowerShellhez és az Azure CLI-hez is elérhetők lépések. A hozzárendelési struktúrával kapcsolatos információkért lásd: Hozzárendelések struktúrája.

Azure Policy objektumok maximális száma

Az egyes objektumtípusok maximális száma Azure Policy. Definíciók esetén a Hatókör bejegyzés a felügyeleti csoportot vagy előfizetést jelenti. Hozzárendelések és kivételek esetén a Hatókör bejegyzés a felügyeleti csoportot, az előfizetést, az erőforráscsoportot vagy az egyéni erőforrást jelenti.

Ahol	Mi	Maximális darabszám
Hatókör	Szabályzatdefiníciók	500
Hatókör	Kezdeményezési definíciók	200
Bérlő	Kezdeményezési definíciók	2500
Hatókör	Szabályzat- vagy kezdeményezés-hozzárendelések	200
Hatókör	Mentességek	1000
Szabályzatdefiníció	Paraméterek	20
Kezdeményezési definíció	Szabályzatok	1000
Kezdeményezési definíció	Paraméterek	300
Szabályzat- vagy kezdeményezés-hozzárendelések	Kizárások (notScope)	400
Szabályzatszabály	Beágyazott feltételes feltételek	512
Szervizelési feladat	Források	50,000
Szabályzatdefiníció, kezdeményezés vagy hozzárendelési kérelem törzse	Bájt	1 048 576

A szabályzatszabályok további korlátozásokkal rendelkeznek a feltételek számára és összetettségére vonatkozóan. További részletekért lásd: Szabályzatszabály-korlátozások .

Következő lépések

Most, hogy áttekintette az Azure Policy tudnivalóit és néhány fontosabb fogalmat, folytatásként a következő témaköröket javasoljuk:

• Tekintse át a szabályzatdefiníció struktúráját.
• Szabályzatdefiníció hozzárendelése a portálon.