Mi az az Azure Policy?

Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőségi követelmények nagy léptékű kiértékelésében. A megfelelőségi irányítópulton keresztül egy összesített nézetet biztosít a környezet általános állapotának kiértékeléséhez, amely lehetővé teszi az erőforrások és szabályzatok szintjén történő részletes elemzést is. Ezenfelül segít biztosítani az erőforrások megfelelőségét a meglévő erőforrások tömeges, illetve az új erőforrások automatikus szervizelésével.

Megjegyzés:

További információ a szervizelésről: Nem megfelelő erőforrások szervizelése az Azure Policyval.

Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Ezeknek a gyakori felhasználási eseteknek a szabályzatdefiníciói már elérhetők beépített modulokként az Azure-környezetben, segítséget nyújtva a munka megkezdéséhez.

Az Azure Policy használatával végrehajtható néhány hasznos szabályozási művelet:

  • Annak biztosítása, hogy a csapat csak az engedélyezett régiókban helyezze üzembe az Azure-erőforrásokat
  • Taxonomikus címkék konzisztens alkalmazásának kényszerítése
  • Diagnosztikai naplók Log Analytics-munkaterületre való küldéséhez szükséges erőforrások megkövetelése

Fontos felismerni, hogy az Azure Arc bevezetésével a szabályzatalapú szabályozást kiterjesztheti a különböző felhőszolgáltatókra és akár a helyi adatközpontokra is.

Minden Azure Policy-adat és objektum titkosítva van. További információ: Inaktív Azure-adattitkosítás.

Áttekintés

Az Azure Policy kiértékeli az Azure-beli erőforrásokat és műveleteket az erőforrások tulajdonságainak üzleti szabályokkal való összehasonlításával. Ezeket a JSON formátumban leírt üzleti szabályokat szabályzatdefinícióknak nevezzük. A felügyelet egyszerűsítése érdekében több üzleti szabály csoportosítható egy szabályzatkezdeményezési kezdeményezés (más néven policySet) létrehozásához. Az üzleti szabályok létrehozása után a szabályzatdefiníció vagy a kezdeményezés minden olyan erőforrás-hatókörhöz lesz hozzárendelve, amely Azure-támogatás, például felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz vagy egyéni erőforrásokhoz. A hozzárendelés a hozzárendelés Resource Manager-hatókörében lévő összes erőforrásra vonatkozik. Szükség esetén a subscopes kizárható. További információ: Hatókör az Azure Policyban.

Az Azure Policy JSON-formátummal alkotja meg azt a logikát, amelyet a kiértékelés használ annak megállapítására, hogy egy erőforrás megfelelő-e vagy sem. A definíciók tartalmazzák a metaadatokat és a szabályzatszabályt. A definiált szabály függvényeket, paramétereket, logikai operátorokat, feltételeket és tulajdonság aliasokat használhat a kívánt forgatókönyvnek megfelelően. A szabályzatszabály határozza meg, hogy a hozzárendelés hatókörében mely erőforrások lesznek kiértékelve.

A kiértékelési eredmények ismertetése

Az erőforrások kiértékelése meghatározott időpontokban történik az erőforrás életciklusa, a szabályzat-hozzárendelés életciklusa és a folyamatos megfelelőség rendszeres kiértékelése során. Az alábbi időpontok vagy események okozzák az erőforrások kiértékelését:

  • A rendszer létrehoz vagy frissít egy erőforrást egy szabályzat-hozzárendeléssel rendelkező hatókörben.
  • Egy szabályzat vagy kezdeményezés újonnan van hozzárendelve egy hatókörhöz.
  • Egy hatókörhöz már hozzárendelt szabályzat vagy kezdeményezés frissül.
  • A standard megfelelőségi értékelési ciklus során, amely 24 óránként egyszer történik.

A szabályzatok kiértékelési időpontjával és módjával kapcsolatos részletes információkért tekintse meg a kiértékelési eseményindítókat.

Az értékelésre adott válasz szabályozása

A nem megfelelő erőforrások kezelésére vonatkozó üzleti szabályok a szervezetek között széles körben eltérőek. Példák arra, hogy egy szervezet hogyan szeretné, ha a platform reagálni szeretne egy nem megfelelő erőforrásra:

  • Az erőforrás-módosítás megtagadása
  • Az erőforrás módosításának naplózása
  • Az erőforrás módosítása a módosítás előtt
  • Az erőforrás módosítása a módosítás után
  • Kapcsolódó megfelelő erőforrások üzembe helyezése
  • Erőforrások műveleteinek letiltása

Az Azure Policy ezeket az üzleti válaszokat a hatások alkalmazásával teszi lehetővé. A effektusok a szabályzatdefiníció szabályzatszabály-részébenvannak beállítva.

Nem megfelelő erőforrások szervizelése

Bár ezek a hatások elsősorban az erőforrásokat érintik az erőforrás létrehozásakor vagy frissítésekor, az Azure Policy a meglévő nem megfelelő erőforrások kezelését is támogatja anélkül, hogy módosítania kellene az erőforrást. A meglévő erőforrások megfelelővé tételével kapcsolatos további információkért tekintse meg az erőforrások szervizelését ismertető témakört.

Videó áttekintése

Az Azure Policy alábbi áttekintése a 2018-as buildből származik. Diák vagy videók letöltéséhez látogasson el az Azure-környezet szabályozására a Channel 9 Azure Policy-ben .

Első lépések

Azure Policy és Azure RBAC

Az Azure Policy és az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) között néhány alapvető különbség van. Az Azure Policy kiértékeli az állapotot a Resource Managerben képviselt erőforrások tulajdonságainak és egyes erőforrás-szolgáltatók tulajdonságainak vizsgálatával. Az Azure Policy biztosítja, hogy az erőforrás-állapot megfeleljen az üzleti szabályoknak, és ne törődjön azzal, hogy ki hajtotta végre a módosítást, vagy kinek van engedélye a módosításra. Az Azure Policy a DenyAction effektussal bizonyos műveleteket is blokkolhat az erőforrásokon. Egyes Azure Policy-erőforrások, például szabályzatdefiníciók, kezdeményezési definíciók és hozzárendelések minden felhasználó számára láthatók. Ez a kialakítás átláthatóságot biztosít az összes felhasználó és szolgáltatás számára, hogy milyen szabályzatszabályok vannak beállítva a környezetükben.

Az Azure RBAC a felhasználói műveletek különböző hatókörökben történő kezelésére összpontosít. Ha felhasználói adatok alapján van szükség egy művelet vezérlésére, akkor az Azure RBAC a megfelelő eszköz. Még akkor is, ha egy személynek hozzáférése van egy művelet végrehajtásához, ha az eredmény nem megfelelő erőforrás, az Azure Policy továbbra is letiltja a létrehozást vagy frissítést.

Az Azure RBAC és az Azure Policy kombinációja teljes körű hatókör-vezérlést biztosít az Azure-ban.

Azure RBAC-engedélyek az Azure Policyben

Az Azure Policy több engedéllyel (más néven művelettel) rendelkezik két erőforrás-szolgáltatóban:

Számos beépített szerepkör engedélyt ad az Azure Policy-erőforrásoknak. Az erőforrásházirend-közreműködői szerepkör a legtöbb Azure Policy-műveletet tartalmazza. A tulajdonos teljes jogokkal rendelkezik. A Közreműködő és az Olvasó egyaránt rendelkezik hozzáféréssel az összes olvasási Azure Policy-művelethez.

A közreműködő elindíthatja az erőforrások szervizelését, de nem hozhat létre és nem frissíthet definíciókat és hozzárendeléseket. A User Access Rendszergazda istrator szükséges a felügyelt identitásnak a deployIfNotExists rendszeren való megadásához vagy a hozzárendelések szükséges engedélyeinek módosításához.

Megjegyzés:

Minden szabályzatobjektum, beleértve a definíciókat, a kezdeményezéseket és a hozzárendeléseket, a hatókörében lévő összes szerepkör számára olvasható lesz. Egy Azure-előfizetésre vonatkozó szabályzat-hozzárendelést például az előfizetés hatókörében lévő összes szerepkör-tulajdonos felolvassa.

Ha egyik beépített szerepkör sem rendelkezik a szükséges engedélyekkel, hozzon létre egy egyéni szerepkört.

Az Azure Policy-műveletek jelentős hatással lehetnek az Azure-környezetre. Csak a tevékenység végrehajtásához szükséges minimális engedélyeket kell hozzárendelni, és ezeket az engedélyeket nem szabad megadni azoknak a felhasználóknak, akiknek nincs szükségük rájuk.

Megjegyzés:

A deployIfNotExists vagy a módosítási házirend-hozzárendelés felügyelt identitásához elegendő engedély szükséges a célzott erőforrások létrehozásához vagy frissítéséhez. További információ: Szabályzatdefiníciók konfigurálása szervizeléshez.

Az Azure Policy és az Azure Virtual Network Manager speciális engedélykövetelménye

Az Azure Virtual Network Manager (előzetes verzió) lehetővé teszi, hogy konzisztens felügyeleti és biztonsági szabályzatokat alkalmazzon több Azure-beli virtuális hálózatra (VNetekre) a felhőinfrastruktúra egészében. Az Azure Virtual Network Manager (AVNM) dinamikus csoportjai Azure Policy-definíciókkal értékelik ki a virtuális hálózatok tagságát ezekben a csoportokban.

Az Azure Virtual Network Manager dinamikus csoportházirendjeinek létrehozásához, szerkesztéséhez vagy törléséhez a következőkre van szükség:

  • Azure RBAC-engedélyek olvasása és írása a mögöttes szabályzathoz
  • Azure RBAC-engedélyek a hálózati csoporthoz való csatlakozáshoz (a klasszikus Rendszergazda engedélyezés nem támogatott).

Pontosabban a szükséges erőforrás-szolgáltatói engedély a .Microsoft.Network/networkManagers/networkGroups/join/action

Fontos

Az AVNM dinamikus csoportjainak módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott; ez azt jelenti, hogy ha a fiókjához csak a társadminisztrátori előfizetési szerepkör van hozzárendelve, akkor nem rendelkezik engedélyekkel az AVNM dinamikus csoportjaihoz.

Az Azure Policy által lefedett erőforrások

Bár a szabályzatok hozzárendelhetők a felügyeleti csoport szintjén, csak az előfizetés vagy az erőforráscsoport szintjén lévő erőforrások lesznek kiértékelve.

Bizonyos erőforrás-szolgáltatók, például a gépkonfiguráció, az Azure Kubernetes Service és az Azure Key Vault esetében mélyebb integráció érhető el a beállítások és objektumok kezeléséhez. További információ: Erőforrás-szolgáltatói módok.

Javaslatok a szabályzatok kezeléséhez

Az alábbiakban néhány tippet és tippet talál, amelyeket szem előtt kell tartania:

  • auditauditIfNotExist A szabályzatdefiníciónak a környezet erőforrásaira gyakorolt hatásának nyomon követéséhez először kényszerítési (deny, modify, ) deployIfNotExisteffektussal kell kezdenie. Ha már rendelkezik szkriptekkel az alkalmazások automatikus skálázásához, a kényszerítési effektus beállítása akadályozhatja az ilyen automatizálási feladatokat.

  • Definíciók és hozzárendelések létrehozásakor vegye figyelembe a szervezeti hierarchiákat. Javasoljuk, hogy hozzon létre definíciókat magasabb szinteken, például a felügyeleti csoport vagy az előfizetés szintjén. Ezután hozza létre a feladatot a következő gyermekszinten. Ha definíciót hoz létre egy felügyeleti csoportban, a hozzárendelés hatóköre az adott felügyeleti csoporton belüli előfizetésre vagy erőforráscsoportra terjedhet ki.

  • Javasoljuk, hogy még egyetlen szabályzatdefinícióhoz is hozzon létre és rendeljen hozzá kezdeményezési definíciókat. Például rendelkezik szabályzatdefiníciós policyDefA-vel , és az initiative definition initiativeDefC keretében hozza létre. Ha később egy másik szabályzatdefiníciót hoz létre a policyDefB-hez a policyDefA-hoz hasonló célokkal, az initiativeDefC alatt hozzáadhatja, és együtt követheti nyomon őket.

    • Miután létrehozott egy kezdeményezési hozzárendelést, a kezdeményezéshez hozzáadott szabályzatdefiníciók is a kezdeményezés feladatainak részévé válnak.

    • A kezdeményezési hozzárendelés kiértékelésekor a rendszer a kezdeményezésen belüli összes szabályzatot is kiértékeli. Ha külön kell kiértékelnie egy szabályzatot, jobb, ha nem foglalja bele egy kezdeményezésbe.

  • Az Azure Policy-erőforrások kódként való kezelése a szabályzatdefiníciók, kezdeményezések és hozzárendelések módosításainak manuális áttekintésével. A javasolt mintákkal és eszközökkel kapcsolatos további információkért tekintse meg az Azure Policy kód-munkafolyamatokként való tervezését ismertető témakört.

Azure Policy-objektumok

Szabályzatdefiníció

Az Azure Policyban a szabályzatok létrehozásának és bevezetésének folyamata egy szabályzatdefiníció létrehozásával kezdődik. Mindegyik szabályzatdefiníció feltételekkel rendelkezik, amelyek teljesülése esetén életbe lép. És van egy meghatározott hatása, amely akkor történik, ha a feltételek teljesülnek.

Az Azure Policyban számos beépített szabályzatot kínálunk, amelyek alapértelmezés szerint elérhetők. Például:

  • Engedélyezett tárfiók-termékváltozatok (megtagadás): Azt határozza meg, hogy az üzembe helyezett tárfiókok termékváltozat-méretekben találhatók-e. Ennek az a hatása, hogy megtagadja az összes olyan tárfiókot, amely nem felel meg a meghatározott termékváltozat-méreteknek.
  • Engedélyezett erőforrástípus (Megtagadás): Meghatározza az üzembe helyezhető erőforrástípusokat. Ennek az a hatása, hogy megtagadja az összes olyan erőforrást, amely nem része ennek a definiált listának.
  • Engedélyezett helyek (megtagadás): Korlátozza az új erőforrásokhoz elérhető helyeket. Biztosítja a földrajzi megfelelőségi követelmények betartását.
  • Engedélyezett virtuálisgép-termékváltozatok (megtagadás): Az üzembe helyezhető virtuálisgép-termékváltozatok készletét adja meg.
  • Címke hozzáadása az erőforrásokhoz (Módosítás): Alkalmazza a szükséges címkét és annak alapértelmezett értékét, ha az üzembe helyezési kérelem nem adja meg.
  • Nem engedélyezett erőforrástípusok (Megtagadás): Megakadályozza az erőforrástípusok listájának üzembe helyezését.

A szabályzatdefiníciók (beépített és egyéni definíciók) implementálásához hozzá kell rendelnie őket. Ezen szabályzatok bármelyike hozzárendelhető az Azure Portalon, a PowerShellben vagy az Azure CLI-n.

A szabályzatok kiértékelése számos különböző művelettel történik, például szabályzat-hozzárendeléssel vagy szabályzatfrissítésekkel. A teljes listát a szabályzat-kiértékelési eseményindítókban találja.

További, a szabályzatdefiníciók szerkezetéről szóló információkért lásd a szabályzatdefiníciók szerkezetével foglalkozó témakört.

A szabályzatparaméterek leegyszerűsítik a szabályzatok kezelését, mert csökkentik a létrehozandó szabályzatdefiníciók számát. A szabályzatdefiníciók létrehozásakor megadhat paramétereket, amelyek általánosabb érvényűvé teszik a definíciót. Ezután az adott szabályzatdefiníciót különböző helyzetekben újra felhasználhatja, ha a szabályzatdefiníció hozzárendelésekor más és más értékeket ad meg. Megadhat például egy adott helykészletet egy előfizetéshez.

A paraméterek a szabályzatdefiníciók létrehozásakor vannak definiálva. A paraméterek a definiálásukkor kapnak egy nevet és esetleg egy értéket is. Például megadhat egy paramétert egy hely nevű szabályzathoz. Ezután a szabályzat hozzárendelésekor különböző értékeket adhat meg a paraméterhez, például EastUS vagy WestUS.

További információ a szabályzatparaméterekről: Definícióstruktúra – Paraméterek.

Kezdeményezési definíció

A kezdeményezési definíciók olyan szabályzatdefiníciók gyűjteményei, amelyek egy egyedi, átfogó cél elérése érdekében vannak kialakítva. A kezdeményezési definíciók egyszerűbbé teszik a szabályzatdefiníciók kezelését és hozzárendelését. Ehhez azzal járulnak hozzá, hogy több szabályzatot egyetlen elembe csoportosítanak. Létrehozhat például egy kezdeményezést a figyelés engedélyezése Felhőhöz készült Microsoft Defender címmel, amelynek célja az Felhőhöz készült Microsoft Defender-példányban elérhető összes biztonsági javaslat figyelése.

Megjegyzés:

Az SDK, például az Azure CLI és az Azure PowerShell a PolicySet nevű tulajdonságokat és paramétereket használja a kezdeményezésekre való hivatkozáshoz.

Egy ilyen kezdeményezés a következő szabályzatdefiníciókat tartalmazhatja:

  • Titkosítatlan SQL Database monitorozása a Felhőhöz készült Microsoft Defender - Titkosítatlan SQL-adatbázisok és -kiszolgálók monitorozásához.
  • A Felhőhöz készült Microsoft Defender operációsrendszer-biztonsági réseinek monitorozása – Olyan figyelési kiszolgálók esetén, amelyek nem felelnek meg a konfigurált alapkonfigurációnak.
  • Hiányzó Endpoint Protection monitorozása a Felhőhöz készült Microsoft Defender - Telepített végpontvédelmi ügynök nélküli kiszolgálók figyeléséhez.

A szabályzatparaméterekhez hasonlóan a kezdeményezési paraméterek is a redundancia csökkentésével egyszerűsítik a kezdeményezések kezelését. A kezdeményezési paraméterek olyan paraméterek, amelyeket a kezdeményezésen belüli szabályzatdefiníciók használnak.

Vegyünk példának egy olyan helyzetet, ahol egy kezdeményezési definícióhoz (C kezdeményezés) az A szabályzat és a B szabályzat szabályzatdefiníció tartozik, amelyek mindketten különböző típusú paramétert várnak:

Policy Paraméter neve Paraméter típusa Megjegyzés:
A szabályzat allowedLocations array Ez a paraméter sztringek listáját várja értékként, mivel a paraméter típusa tömbként lett megadva
B szabályzat allowedSingleLocation sztring Ez a paraméter egy szót vár értékként, mivel a paraméter típusa sztringként lett megadva

Ebben a forgatókönyvben három lehetőség van a C kezdeményezés kezdeményezési paramétereinek megadására:

  • A kezdeményezésen belüli szabályzatdefiníciók paramétereinek használata. Ebben az esetben az allowedLocations és az allowedSingleLocation lesz a C kezdeményezés kezdeményezési paramétere.
  • Értékek megadása a kezdeményezési definíción belüli szabályzatdefiníciók paramétereihez. Ebben a példában megadhat egy listát a helyekről a policyA paraméterének – az allowedLocations és a policyB paraméterének – az allowedSingleLocation paraméternek. Az értékeket az adott kezdeményezés hozzárendelésekor is megadhatja.
  • Adjon meg egy listát mindazon lehetséges értékekről, amelyeket használhat a kezdeményezés hozzárendelésekor. A kezdeményezés hozzárendelésekor a kezdeményezésen belüli szabályzatdefiníciók örökölt paraméterei csak olyan értékekkel rendelkezhetnek, amelyek ebben a listában szerepelnek.

Amikor értékbeállításokat hoz létre egy kezdeményezési definícióban, nem tud más értéket megadni a kezdeményezés hozzárendelése során, mert az nem része a listának.

Ha többet szeretne megtudni a kezdeményezésdefiníciók struktúrájáról, tekintse át a kezdeményezésdefiníciós struktúrát.

Hozzárendelések

A hozzárendelés egy szabályzatdefiníció vagy kezdeményezés, amelyet egy adott hatókörhöz rendeltek. Ez a hatókör egy felügyeleti csoporttól egy adott erőforrásig terjedhet. A kifejezés hatóköre az összes olyan erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra vonatkozik, amelyhez a definíció hozzá van rendelve. A hozzárendeléseket az összes gyermekerőforrás örökli. Ez a kialakítás azt jelenti, hogy az erőforráscsoportra alkalmazott definíció az adott erőforráscsoport erőforrásaira is vonatkozik. Azonban kizárhat egy alhatókört a hozzárendelésből.

Az előfizetés hatókörében például hozzárendelhet egy definíciót, amely megakadályozza a hálózati erőforrások létrehozását. Kizárhat egy erőforráscsoportot abban az előfizetésben, amely hálózati infrastruktúrára szolgál. Ezt követően hozzáférést kell adnia ehhez a hálózati erőforráscsoporthoz azokhoz a felhasználókhoz, amelyekben megbízik a hálózati erőforrások létrehozásával.

Egy másik példában érdemes lehet hozzárendelni egy erőforrástípus engedélyezésilista-definícióját a felügyeleti csoport szintjén. Ezután egy megengedőbb szabályzatot rendelhet hozzá (több erőforrástípust engedélyezve) egy gyermekfelügyeleti csoporthoz vagy akár közvetlenül az előfizetésekhez. Ez a példa azonban nem működik, mert az Azure Policy egy explicit megtagadási rendszer. Ehelyett ki kell zárnia a gyermekfelügyeleti csoportot vagy -előfizetést a felügyeleti csoportszintű hozzárendelésből. Ezután rendelje hozzá a megengedőbb definíciót a gyermekfelügyeleti csoporthoz vagy az előfizetési szinthez. Ha bármely hozzárendelés egy erőforrás megtagadását eredményezi, akkor az erőforrás csak úgy engedélyezhető, ha módosítja a megtagadó hozzárendelést.

A szabályzat-hozzárendelések mindig a hozzárendelt definíció vagy kezdeményezés legújabb állapotát használják az erőforrások kiértékelésekor. Ha egy már hozzárendelt szabályzatdefiníció módosul, a definíció összes meglévő hozzárendelése a frissített logikát fogja használni az értékelés során.

A hozzárendelések portálon keresztüli beállításával kapcsolatos további információkért lásd : Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure-környezetben. A PowerShellhez és az Azure CLI-hez is elérhetők lépések. A hozzárendelési struktúráról további információt a Hozzárendelések struktúrája című témakörben talál.

Azure Policy-objektumok maximális száma

Az Azure Policy minden objektumtípusához maximális szám tartozik. Definíciók esetén a hatókör bejegyzése a felügyeleti csoportot vagy előfizetést jelenti. Hozzárendelések és kivételek esetén a hatókör bejegyzése a felügyeleti csoportot, az előfizetést, az erőforráscsoportot vagy az egyéni erőforrást jelenti.

Ahol Mi Maximális darabszám
Scope Szabályzatdefiníciók 500
Scope Kezdeményezési definíciók 200
Tenant Kezdeményezési definíciók 2500
Scope Szabályzat- vagy kezdeményezés-hozzárendelések 200
Scope Mentességek 1000
Szabályzatdefiníció Parameters 20
Kezdeményezési definíció Házirendek 1000
Kezdeményezési definíció Parameters 400
Szabályzat- vagy kezdeményezés-hozzárendelések Kizárások (notScope) 400
Szabályzatszabály Beágyazott feltételes feltételek 512
Szervizelési feladat Források 50 000
Szabályzatdefiníció, kezdeményezés vagy hozzárendelési kérelem törzse Bájt 1 048 576

A szabályzatszabályok további korlátozásokkal rendelkeznek a feltételek számára és összetettségére. További részletekért tekintse meg a szabályzatszabály korlátait .

Következő lépések

Most, hogy áttekintette az Azure Policy tudnivalóit és néhány fontosabb fogalmat, folytatásként a következő témaköröket javasoljuk: